PT-2022-12473 · Pascom · Pascom Cloud Phone System
Publicado
2022-03-18
·
Atualizado
2022-07-12
·
CVE-2021-45966
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Pascom Cloud Phone System anteriores à 7.20.x
Descrição
Foi detectada uma falha na API REST de gerenciamento, especificamente no endpoint “/services/apply” no exd.pl, permitindo que invasores remotos executem código arbitrário por meio de metacaracteres de shell.
Recomendações
Para versões anteriores à 7.20.x, atualize para a versão 7.20.x ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao endpoint “/services/apply” no exd.pl para minimizar o risco de exploração.
Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pascom Cloud Phone System