PT-2021-22243 · Nascent · Nascent Remkon Device Manager

Publicado

2021-08-24

Atualizado

2021-08-31

CVE-2021-38611

CVSS v2.0

Crítica

Vetor

AV:N/AC:L/Au:N/C:C/I:C/A:C

Nome do software vulnerável e versões afetadas

NASCENT RemKon Device Manager versão 4.0.0.0

Descrição

Uma vulnerabilidade de injeção de comando na função de upload de imagens permite que invasores executem comandos arbitrários como root por meio de metacaracteres de shell no parâmetro filename do arquivo “assets/index.php”.

Recomendações

Para o NASCENT RemKon Device Manager versão 4.0.0.0, considere desativar a função de upload de imagens até que uma correção esteja disponível para impedir a exploração. Restrinja o acesso ao endpoint “assets/index.php” para minimizar o risco de injeção de comando. Evite usar metacaracteres de shell no parâmetro filename para impedir a execução de comandos arbitrários.

Exploit

Correção

Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77

Identificadores relacionados

CVE-2021-38611

Produtos afetados

Nascent Remkon Device Manager

PT-2021-22243 · Nascent · Nascent Remkon Device Manager

CVE-2021-38611

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5