PT-2021-17033 · Unknown · Smartfoxserver
Publicado
2021-02-09
·
Atualizado
2021-02-18
·
CVE-2021-26551
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
SmartFoxServer versão 2.17.0
Descrição
Uma falha permite que um invasor execute código Python arbitrário e contorne o mecanismo de proteção do javashell.py. Isso pode ser feito criando um arquivo chamado
/config/ConsoleModuleUnlock.txt e editando o arquivo /config/admin/admintool.xml para habilitar o módulo Console.Recomendações
Para o SmartFoxServer versão 2.17.0, considere desativar o módulo Console até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso aos arquivos
/config/ConsoleModuleUnlock.txt e /config/admin/admintool.xml para minimizar o risco de modificações não autorizadas.Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Smartfoxserver