Skip to main content

Argitalpen data: 2021/01/14

Garrantzia:Kritikoa

Kaltetutako baliabideak:

AirWave Glass, 1.3.2 bertsioa eta aurrekoak.

Azalpena:

Arubak larritasun kritikoko 3 ahultasuneneta larritasun handiko beste baten berri eman du. Horien bidez, webadministraziorako interfazean sar liteke baten bat, edo Airwave Glass eremuarenazpiko ostatatze sistema eragilea guztiz konprometitu.

Konponbidea:

1.3.3 edo osteko bertsioen araberaeguneratzea.

Xehetasunak:

  • Zerbitzariaren aldean (Server-Side Request Forgery (SSRF)) baimenik gabeko amaierako endpoint baten bidez manipulatutako eskaeren bidez, erasotzaile batek informazio sentikorra zabaldu lezake egiaztatzea saihesteko, eta web administraziorako interfazean administrari sarbidea lortu. Ahultasun horretarako, CVE-2020-24641 identifikatzailea esleitu da.
  • Erasotzaile batek komando arbitrarioak exekuta litzake Airwave Glass sistemaren edukiontzi sistema batean, eta azpiko ostatatze sistema eragilea konprometitu. Horretarako, sarbide-datuen balioztatze ez nahikoa edo Javaren deserializazio ez segurua baliatu litzake. Ahultasun horietarako CVE-2020-24640 eta CVE-2020-24639 identifikatzaileak erreserbatu dira.
  • Kodearen urrutiko exekuzioaren motako hainbat ahultasun daude Airwave Glass sisteman, cli. Glassadmin bidez, eta, horien bidez, glassadmin pribilegioak dituen erasotzaile batek kode arbitrarioa exekuta lezake, root gisa, azpiko ostatatze zerbitzu eragilean. Ahultasun horretarako CVE-2020-24638 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Ahultasuna

Partekatu

Linkedin partekatu