PT-2022-9948 · Hestiacp · Hestiacp
Publicado
2022-08-18
·
Atualizado
2022-08-19
·
CVE-2021-30070
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do HestiaCP anteriores à 1.3.5
Descrição
Foi detectada uma falha no HestiaCP que permite que invasores instalem pacotes arbitrariamente, devido aos valores do parâmetro
pgk na solicitação de atualização serem transmitidos ao gerenciador de pacotes do sistema operacional.Recomendações
Para versões anteriores à 1.3.5, atualize para a versão 1.3.5 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao gerenciador de pacotes ou desativar a funcionalidade de solicitação de atualização até que um patch seja aplicado. Evite usar o parâmetro
pgk na solicitação de atualização até que o problema seja resolvido.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hestiacp