BDU:2020-05315

Опубликовано: 23 мар. 2020

Источник: fstec

CVSS3: 9.9

CVSS2: 9

EPSS Высокий

Описание

Уязвимость веб-приложения управления конфигурацией сетевых устройств rConfig операционной системы CentOS связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды в целевой системе используя специально сформированный GET-запрос

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

rConfig

Версия ПО

до 3.9.4 включительно (rConfig)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

The CentOS Project CentOS 7

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)

Возможные меры по устранению уязвимости

Обновление программного обеспечения до актуальной версии

Статус уязвимости

Подтверждена в ходе исследований

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://cxsecurity.com/issue/WLB-2020030122

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-10879
CVE

EPSS

Процентиль: 99%

0.86178

Высокий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2020-10879

CVSS3: 9.8

nvd

почти 6 лет назад

rConfig before 3.9.5 allows command injection by sending a crafted GET request to lib/crud/search.crud.php since the nodeId parameter is passed directly to the exec function without being escaped.

GHSA-mg38-p8q7-69v4

github

больше 3 лет назад

rConfig before 3.9.5 allows injection because lib/crud/search.crud.php does not properly construct a find command.