PT-2022-3531 · Apache · Apache Web Server
Anthony Candarini
+3
·
Publicado
2022-06-23
·
Atualizado
2022-07-06
·
CVE-2022-2104
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do SEPCOS Single Package (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma gestão insegura de privilégios no software SEPCOS Single Package. Isso permite que um invasor remoto eleve seus privilégios. A conta
www-data, usada pelo servidor web Apache, está configurada para executar o sudo sem senha para muitos comandos, incluindo /bin/sh e /bin/bash.Recomendações
Para o SEPCOS Single Package, restrinja o uso do comando
sudo para a conta www-data a fim de minimizar o risco de exploração.Como solução temporária, considere desativar a capacidade da conta
www-data de executar comandos como /bin/sh e /bin/bash até que uma correção adequada seja aplicada.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Apache Web Server