PT-2022-17896 · Veritas · Veritas Infoscale Operations Manager
Publicado
2022-03-04
·
Atualizado
2022-03-12
·
CVE-2022-26484
CVSS v2.0
6.8
Média
| Vetor | AV:N/AC:L/Au:S/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Veritas InfoScale Operations Manager anteriores à 7.4.2 Patch 600
Versões 8.x do Veritas InfoScale Operations Manager anteriores à 8.0.0 Patch 100
Descrição
O servidor web no Veritas InfoScale Operations Manager não consegue sanitizar os dados de entrada para o endpoint “admin/cgi-bin/rulemgr.pl/getfile/”, permitindo que um administrador autenticado remotamente leia arquivos arbitrários no sistema por meio de traversal de diretório. Isso pode ser feito manipulando o nome do recurso em solicitações GET que se referem a arquivos com caminhos absolutos, potencialmente acessando o código-fonte do aplicativo, arquivos de configuração e arquivos críticos do sistema.
Recomendações
Para versões anteriores à 7.4.2 Patch 600, atualize para a 7.4.2 Patch 600 ou posterior.
Para versões 8.x anteriores à 8.0.0 Patch 100, atualize para a 8.0.0 Patch 100 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao endpoint “admin/cgi-bin/rulemgr.pl/getfile/” até que um patch seja aplicado.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Veritas Infoscale Operations Manager