CVE-2022-24393

Versões do Fidelis Network e do Deception anteriores à 9.4.5

A vulnerabilidade permite a injeção de comandos autenticados por meio da interface web, utilizando o valor check vertica upgrade para o parâmetro cpIp. Isso poderia permitir que uma solicitação HTTP especialmente criada executasse comandos do sistema no CommandPost e retornasse resultados em uma resposta HTTP por meio de uma sessão autenticada.

Para versões anteriores à 9.4.5, atualize para a versão 9.4.5 ou posterior para resolver este problema. Como solução alternativa temporária, considere restringir o acesso à interface web ou limitar o uso do parâmetro cpIp até que um patch seja aplicado.