PT-2021-9865 · Extreme Networks · Hiveos+1
Publicado
2021-11-14
·
Atualizado
2021-11-18
·
CVE-2020-16152
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Extreme Networks ExtremeWireless Aerohive HiveOS e IQ Engine até a versão 10.0r8a
Descrição
A interface administrativa NetConfig UI permite que invasores executem código PHP como usuário root por meio de solicitações HTTP remotas. Isso é feito inserindo o código PHP em um arquivo de log e, em seguida, acessando esse arquivo.
Recomendações
Para versões até 10.0r8a, considere restringir o acesso à interface administrativa NetConfig UI até que um patch esteja disponível. Como solução temporária, limite a capacidade de inserir código em arquivos de log e restrinja o acesso aos arquivos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hiveos
Iq Engine