PT-2022-8313 · Debian+1 · Debian+1
Publicado
2022-06-07
·
Atualizado
2022-06-14
·
CVE-2019-9971
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
3CX Phone System (instalação baseada em Debian) versão 16.0.0.1570
Descrição
A vulnerabilidade permite que um invasor obtenha privilégios de root sem senha utilizando o comando
tcpdump com sudo. Isso ocorre devido ao uso inseguro da opção -z (também conhecida como postrotate-command) em conjunto com sudo.Recomendações
Para a versão 16.0.0.1570, como solução temporária, considere restringir o uso do comando
tcpdump com sudo até que um patch esteja disponível. Evite usar a opção -z com sudo para minimizar o risco de exploração.Exploit
Correção
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
3Cx Phone System
Debian