PT-2021-11215 · Utimaco · Utimaco Securityserver
Publicado
2021-03-18
·
Atualizado
2021-06-17
·
CVE-2020-26155
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Utimaco SecurityServer, versões 4.20.0.4 a 4.31.1.0
Descrição:
A vulnerabilidade permite que arquivos binários sejam manipulados por usuários não administradores devido a permissões fracas de leitura/gravação para usuários autenticados em vários arquivos e pastas. Além disso, entradas feitas na variável de ambiente
PATH poderiam permitir que um invasor realizasse um ataque de sequestro de DLL.Recomendações:
Para as versões 4.20.0.4 a 4.31.1.0 do Utimaco SecurityServer, considere restringir as permissões de leitura/gravação para usuários autenticados a fim de impedir a manipulação de arquivos binários.
Como solução temporária, restrinja o acesso à variável de ambiente
PATH para minimizar o risco de exploração.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Incorrect Permission
Uncontrolled Search Path Element
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Utimaco Securityserver