PT-2022-23761 · Ahsay · Ahsaycbs
Jan Friedli
·
Publicado
2022-09-21
·
Atualizado
2025-05-28
·
CVE-2022-37027
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Ahsay AhsayCBS versão 9.1.4.0
Descrição
A vulnerabilidade permite que um usuário autenticado do sistema injete opções arbitrárias da JVM do Java. Administradores com permissão para modificar as Opções de Tempo de Execução na interface web podem injetar Opções de Tempo de Execução do Java, que entram em vigor após uma reinicialização. Isso pode permitir que um invasor ative serviços JMX, potencialmente conseguindo a execução remota de código como usuário do sistema.
Recomendações
Para o Ahsay AhsayCBS versão 9.1.4.0, considere restringir o acesso às Opções de Tempo de Execução na interface web para impedir a injeção de opções arbitrárias da JVM do Java até que um patch esteja disponível. Como solução alternativa temporária, evite usar o recurso para modificar as Opções de Tempo de Execução a fim de minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
RCE
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ahsaycbs