Vulnerabilidad en el archivo split_card_cmd.php en los parámetros http xmodules, ymodules y savelocking en NDN-210 en Barco TransForm N (CVE-2020-17502)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
08/01/2021
Última modificación:
13/01/2021
Descripción
Barco TransForm N versiones anteriores a 3.8, permite una Inyección de Comandos (problema 2 de 4). El NDN-210 presenta un panel de administración web que está disponible a través de https. Se presenta un problema de inyección de comandos que permitirá a usuarios autenticados del panel de administración llevar a cabo una ejecución de código remota autenticada. Se presenta un problema en el archivo split_card_cmd.php en el que los parámetros http xmodules, ymodules y savelocking no son manejados apropiadamente. El NDN-210 es parte de la solución de Barco TransForm N e incluye el parche desde TransForm N versión 3.8 en adelante
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:barco:transform_n:*:*:*:*:*:*:*:* | 3.8 (excluyendo) | |
| cpe:2.3:h:barco:transform_ndn-210_lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-210_pro:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-211_lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-211_pro:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página