PT-2022-10269 · Idsscheer · Mashzone Nextgen
Marcos Díaz
·
Publicado
2022-03-30
·
Atualizado
2022-04-06
·
CVE-2021-33523
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do MashZone NextGen até a 10.7 GA
Descrição
A vulnerabilidade permite que um usuário remoto autenticado, com acesso ao console de administração, faça o upload de um novo driver JDBC capaz de executar comandos arbitrários no host subjacente. Isso ocorre no
com.idsscheer.ppmmashup.business.jdbc.DriverUploadController.Recomendações
Para as versões do MashZone NextGen até a 10.7 GA, considere desativar a função
DriverUploadController até que um patch esteja disponível para impedir o upload de drivers JDBC maliciosos. Restrinja o acesso ao console de administração para minimizar o risco de exploração.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Mashzone Nextgen