PT-2021-3233 · Eyesofnetwork · Eyesofnetwork Eonweb
Publicado
2021-05-24
·
Atualizado
2021-05-28
·
CVE-2021-33525
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
EyesOfNetwork eonweb versões 5.3-11
Descrição
O problema está relacionado ao parâmetro
nagios path no arquivo lilac/export.php, que não neutraliza adequadamente os caracteres especiais utilizados nos comandos do sistema operacional. Isso pode ser explorado por um invasor remoto para executar comandos arbitrários. A vulnerabilidade pode ser explorada por meio de metacaracteres de shell no parâmetro nagios path, conforme demonstrado pela inserção de uma subcadeia “&& curl” para o shell usando %26%26+curl. A exploração requer acesso de usuário autenticado.Recomendações
Para as versões 5.3-11 do EyesOfNetwork eonweb, considere desativar o acesso ao endpoint
lilac/export.php até que um patch esteja disponível, ou restrinja o uso do parâmetro nagios path para impedir a injeção de metacaracteres de shell. Evite usar o parâmetro nagios path no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eyesofnetwork Eonweb