PT-2021-17486 · Unknown · Eyesofnetwork
Arianeblow
·
Publicado
2021-02-21
·
Atualizado
2021-02-26
·
CVE-2021-27513
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
EyesOfNetwork versões 5.3-10
Descrição
A vulnerabilidade permite que usuários remotos autenticados enviem arquivos .xml.php arbitrários devido ao módulo admin ITSM depender do “le filtre userside”. Isso pode potencialmente levar à execução de código malicioso. Não há informações sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para as versões 5.3-10 do EyesOfNetwork, considere desativar o módulo admin ITSM até que um patch esteja disponível para impedir o upload de arquivos .xml.php arbitrários. Restrinja o acesso ao módulo para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eyesofnetwork