Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/10/2019
Le inyección de comandos en el Zingbox Inspector CLI, podría permitir a un usuario autenticado ejecutar comandos arbitrarios del sistema. Además los usuarios podrían autenticarse en el software utilizando credenciales con código embebido si el acceso a SSH en el Zingbox Inspector no está restringido con medidas adicionales.
También los usuarios autenticados podrían insertar comandos no saneados a la base de datos de Zingbox Inspector backend, lo que puede causar problemas u otros daños a la base de datos o al sistema. Por último, se ha detectado que Zingbox Inspector no requiere autenticación cuando se vincula la instancia del Inspector a un cliente diferente.
Más información en el siguiente enlace.
Sistemas Afectados:Zingbox Inspector, versiones 1.280, 1.286, 1.288, 1.294 y anteriores.
Referencias:CVE-2019-15014, CVE-2019-15015, CVE-2019-15017, CVE-2019-15016, CVE-2019-15018
Solución:Actualizar a la versión 1.295 o posterior.
Notas:Más información:
Zingbox Inspector, versions 1.286 and earlier
Zingbox Inspector, versions 1.294 and earlier
Zingbox Inspector, versions 1.288 and earlier
Zingbox Inspector, versions 1.294 and earlier
Zingbox Inspector, versions 1.280 and earlie