Cerberus ftp szerver sérülékenység
Angol cím: Cerberus ftp szerver vulnerability
CH azonosító: CH-14753
Publikálás dátuma: 2020.01.14.
Utolsó módosítás dátuma: 2020.01.14.
Leírás
A CVE-2020-5195 számon a Cerberus FTP szervereket érintő, magas kockázati besorolású sérülékenység vált ismertté, amelyet kihasználva a támadók cross-site scripting támadásokat hajthatnak végre.
Leírás forrása: Gyártói referencia: www.cerberusftp.com Leírás utolsó módosítása: 2020.01.14.Elemzés leírás
A Cerberus FTP Server egy Windows alapú, biztonságos file szerver, amely képes az FTP, FTPS, SFTP, HTTPS protokollok kezelésére, továbbá Active Directory és LDAP autentikációval is rendelkezik. Beépített webszolgáltatást tartalmaz, amely lehetővé teszi a felhasználók számára, hogy böngészőn keresztül is csatlakozhassanak a szerverhez különböző fájlműveletek végrehajtásának céljából. A felhasználó által megosztott tartalomra mutató URL egy egyedi kulcsot tartalmaz. Ez az URL támogatja a megosztáson belüli mappák közti további böngészést. A megosztott tartalom megjelenítésének frissítéséért felelős JavaScript nem megfelelően végzi az URL megbízhatósági ellenőrzését, így az URL módosításával a HTML és a JavaScript tartalom is módosítható, amely kiindulási alapként szolgálhat a megosztást használók elleni további támadásokhoz.
Érintett verziók:
- 11.0.1 előtti verziók
- 10.0.17 előtti verziók
- A 9.0 és régebbi verziók nem támogatottak, és már nem kapnak frissítéseket.
A gyártó honlapján közzétette a hiba javítását tartalmazó frissítést.
Elemzés leírás utolsó módosítása: 2020.01.14.Hatás
CVSS3 Súlyosság és Metrika
Alap pontszám: 7.1 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:L
Hatás pontszáma:
Kihasználhatóság pontszáma:
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Szükséges
Hatókör (S): Változott
Bizalmasság Hatása (C):
Sértetlenség Hatása (I):
Rendelkezésre állás Hatása (A):
Hivatkozások
Gyártói referencia: www.cerberusftp.com
Egyéb referencia: cve.mitre.org
Egyéb referencia: www.doyler.net
Egyéb referencia: nvd.nist.gov
CVE-2020-5195 - NVD CVE-2020-5195