PT-2021-9158 · Invigo · Invigo Automatic Device Management
Publicado
2021-03-25
·
Atualizado
2021-03-27
·
CVE-2020-10583
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Invigo Automatic Device Management (ADM) até a versão 5.0
Descrição
A vulnerabilidade permite que invasores remotos autenticados executem comandos arbitrários do sistema operacional no servidor, assumindo os privilégios do usuário que está executando o aplicativo. Isso é possível por meio do script /admin/admapi.php.
Recomendações
Para as versões do Invigo Automatic Device Management (ADM) até a 5.0, considere desativar o acesso ao script /admin/admapi.php até que uma correção esteja disponível. Restringir os privilégios do usuário que executa o aplicativo também pode ajudar a minimizar o risco de exploração.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Invigo Automatic Device Management