CVE-2019-18582
CVE-2019-18582
En resumen
Dell EMC Data Protection Advisor permite que los administradores inyecten código malicioso en la generación de reportes, lo que puede ejecutar comandos en el servidor. Esto es peligroso porque los atacantes con acceso administrativo pueden tomar control del sistema.
Detalle técnico
Vulnerabilidad de inyección de plantillas del lado del servidor en la API REST permite que administradores autenticados inyecten código arbitrario en scripts de generación de reportes, resultando en ejecución de comandos del SO con los privilegios del usuario que ejecuta el servicio DPA. Requiere credenciales administrativas válidas e interacción con el endpoint afectado de la API REST.
Resumen generado y traducido por IA a partir de la descripción oficial.
Dell EMC Data Protection Advisor versions 6.3, 6.4, 6.5, 18.2 versions prior to patch 83, and 19.1 versions prior to patch 71 contain a server-side template injection vulnerability in the REST API. A remote authenticated malicious user with administrative privileges may potentially exploit this vulnerability to inject malicious report generation scripts in the server. This may lead to OS command execution as the regular user runs the DPA service on the affected system.
CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Productos afectados
Dell · Data Protection Advisor¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →