PT-2021-22577 · Unknown · Mylittlebackup
Omriinbar
·
Publicado
2021-09-15
·
Atualizado
2021-10-07
·
CVE-2021-39392
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do MyLittleBackup até a 1.7, inclusive
Descrição:
A ferramenta de gerenciamento do MyLittleBackup permite que invasores remotos executem código arbitrário, pois o
machineKey está codificado no web.config e pode ser usado para enviar código ASP serializado. Esse problema afeta todas as instalações dos clientes devido ao uso do mesmo machineKey codificado.Recomendações:
Para as versões do MyLittleBackup até a 1.7, inclusive, considere alterar o
machineKey codificado no web.config para um valor exclusivo para cada instalação como uma solução temporária. No entanto, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Mylittlebackup