Cerberus ftp szerver sérülékenység

CH azonosító: CH-14753
Cím: Cerberus ftp szerver sérülékenység
Angol cím: Cerberus ftp szerver vulnerability

Publikálás dátuma: 2020.01.14.
Utolsó módosítás dátuma: 2020.01.14.


Leírás

A CVE-2020-5195 számon a Cerberus FTP szervereket érintő, magas kockázati besorolású sérülékenység vált ismertté, amelyet kihasználva a támadók cross-site scripting támadásokat hajthatnak végre.


Leírás forrása: Gyártói referencia: www.cerberusftp.com
Leírás utolsó módosítása: 2020.01.14.


Elemzés leírás

A Cerberus FTP Server egy Windows alapú, biztonságos file szerver, amely képes az FTP, FTPS, SFTP, HTTPS protokollok kezelésére, továbbá Active Directory és LDAP autentikációval is rendelkezik. Beépített webszolgáltatást tartalmaz, amely lehetővé teszi a felhasználók számára, hogy böngészőn keresztül is csatlakozhassanak a szerverhez különböző fájlműveletek végrehajtásának céljából. A felhasználó által megosztott tartalomra mutató URL egy egyedi kulcsot tartalmaz. Ez az URL támogatja a megosztáson belüli mappák közti további böngészést. A megosztott tartalom megjelenítésének frissítéséért felelős JavaScript nem megfelelően végzi az URL megbízhatósági ellenőrzését, így az URL módosításával a HTML és a JavaScript tartalom is módosítható, amely kiindulási alapként szolgálhat a megosztást használók elleni további támadásokhoz.

Érintett verziók:

  •  11.0.1 előtti verziók
  • 10.0.17 előtti verziók
  • A 9.0 és régebbi verziók nem támogatottak, és már nem kapnak frissítéseket.

 

A gyártó honlapján közzétette a hiba javítását tartalmazó frissítést.


Elemzés leírás utolsó módosítása: 2020.01.14.


Hatás

CVSS3 Súlyosság és Metrika

Alap pontszám: 7.1 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
Hatás pontszáma:
Kihasználhatóság pontszáma:


Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Változott
Bizalmasság Hatása (C): Alacsony
Sértetlenség Hatása (I): Alacsony
Rendelkezésre állás Hatása (A): Alacsony

CVSS2 Súlyosság és Metrika

Alap pontszám: (Nincs)
Vektor:
Hatás alpontszáma:
Kihasználhatóság alpontszáma:




Hivatkozások

Gyártói referencia: www.cerberusftp.com
Egyéb referencia: cve.mitre.org
Egyéb referencia: www.doyler.net
Egyéb referencia: nvd.nist.gov
CVE-2020-5195 - NVD CVE-2020-5195