PT-2022-12907 · Genieacs · Genieacs
Alex Hordijk
·
Publicado
2022-03-06
·
Atualizado
2022-03-11
·
CVE-2021-46704
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
GenieACS versões 1.2.x a 1.2.7
Descrição
O problema decorre da validação insuficiente de entradas, combinada com a ausência de verificação de autorização na API da interface do usuário (UI), permitindo a injeção de comandos do sistema operacional sem autenticação por meio do argumento
ping host. Isso se deve a vulnerabilidades nos arquivos lib/ui/api.ts e lib/ping.ts.Recomendações
Para as versões 1.2.x a 1.2.7 do GenieACS, atualize para a versão 1.2.8 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso aos arquivos
lib/ui/api.ts e lib/ping.ts para minimizar o risco de exploração.Evite usar o argumento
ping host na API da interface do usuário até que o problema seja resolvido.Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Genieacs