← volver
CVE-2018-11138

CVE-2018-11138

CVSS 9.8 CRITICALEPSS 91.9%● KEVCWE-78
En resumen

Un script desprotegido en Quest KACE permite que cualquier persona en internet ejecute cualquier comando en el servidor. Esto es extremadamente peligroso porque los atacantes pueden asumir el control total del sistema sin necesidad de contraseña.

Detalle técnico

Inyección de Comando del SO (CWE-78) a través de acceso no autenticado al script '/common/download_agent_installer.php' en KACE 8.0.318. El script no valida entrada del usuario ni realiza verificación de autorización, permitiendo a atacantes remotos ejecutar comandos arbitrarios con privilegios del sistema. El impacto incluye compromiso total.

Resumen generado y traducido por IA a partir de la descripción oficial.
The '/common/download_agent_installer.php' script in the Quest KACE System Management Appliance 8.0.318 is accessible by anonymous users and can be abused to execute arbitrary commands on the system.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · n/a
PoCs públicas encontradas2
cve_referencewww.exploit-db.com/exploits/44950/no verificadoexploitdbwww.exploit-db.com/exploits/44950no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2018-11138https://www.coresecurity.com/advisories/quest-kace-system-management-appliance-multiple-vulnerabilitieshttps://www.exploit-db.com/exploits/44950/