Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
03/10/2019
La injecció de comandaments en el Zingbox Inspector CLI, podria permetre a un usuari autenticat executar comandaments arbitraris del sistema. A més els usuaris podrien autenticar-se en el programari utilitzant credencials amb codi encastat si l'accés a SSH en el Zingbox Inspector no està restringit amb mesures addicionals.
També els usuaris autenticats podrien inserir comandaments no sanejats a la base de dades de Zingbox Inspector backend, la qual cosa pot causar problemes o altres danys a la base de dades o al sistema. Finalment, s'ha detectat que Zingbox Inspector no requereix autenticació quan es vincula la instància de l'Inspector a un client diferent.
Més informació en el següent enllaç.
Sistemes Afectats:Zingbox Inspector, versions 1.280, 1.286, 1.288, 1.294 i anteriors.
Referències:CVE-2019-15014, CVE-2019-15015, CVE-2019-15017, CVE-2019-15016, CVE-2019-15018
Solució:Actualitzar a la versió 1.295 o posterior.
Notes:Más información:
Zingbox Inspector, versions 1.286 and earlier
Zingbox Inspector, versions 1.294 and earlier
Zingbox Inspector, versions 1.288 and earlier
Zingbox Inspector, versions 1.294 and earlier
Zingbox Inspector, versions 1.280 and earlie