PT-2024-11595 · Unknown · Open Source Mano
Pedro Escaleira
·
Publicado
2024-04-22
·
Atualizado
2024-07-03
·
CVE-2022-35503
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Open Source MANO, versões 7 a 12
Descrição
A vulnerabilidade está relacionada à verificação inadequada das entradas do usuário, permitindo que um invasor autenticado execute código arbitrário dentro do contêiner do módulo LCM por meio de um descritor de Função de Rede Virtual (VNF). Isso poderia permitir que o invasor alterasse a execução normal dos componentes do OSM, recuperasse informações confidenciais ou obtivesse acesso a outras partes da infraestrutura de uma operadora de telecomunicações.
Recomendações
Para as versões 7 a 12 do Open Source MANO, considere restringir o acesso ao contêiner do módulo LCM e aos descritores de Função de Rede Virtual (VNF) para minimizar o risco de exploração. Como solução temporária, limite a execução de código arbitrário dentro do contêiner até que um patch esteja disponível.
Correção
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Open Source Mano