PT-2021-22881 · Unknown · Gridpro Request Management
Giulian Guran
·
Publicado
2021-10-25
·
Atualizado
2021-10-29
·
CVE-2021-40371
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Gridpro Request Management para Windows Azure Pack, versões anteriores à 2.0.7912
Descrição
A vulnerabilidade permite o traversal de diretórios para a execução remota de código. Isso pode ser demonstrado usando
.. no valor JSON de scriptName para o endpoint ServiceManagerTenant/GetVisibilityMap.Recomendações
Para versões anteriores à 2.0.7912, atualize para a versão 2.0.7912 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint
ServiceManagerTenant/GetVisibilityMap até que um patch esteja disponível.Evite usar o valor JSON
scriptName no endpoint afetado até que o problema seja resolvido.Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gridpro Request Management