Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo split_card_cmd.php en el parámetro http "locking" en NDN-210 en Barco TransForm N (CVE-2020-17503)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
08/01/2021
Última modificación:
14/01/2021

Descripción

El NDN-210 presenta un panel de administración web que está disponible a través de https. Se presenta un problema de inyección de comando que permitirá a usuarios autenticados en el panel de administración llevar a cabo una ejecución de código remota autenticada. Se presenta un problema en el archivo split_card_cmd.php en el que el parámetro http "locking" no es manejado apropiadamente. El NDN-210 es parte de la solución de Barco TransForm N y esta vulnerabilidad está parcheada a partir de TransForm N versión 3.8 en adelante

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:barco:transform_n:*:*:*:*:*:*:*:* 3.8 (excluyendo)
cpe:2.3:h:barco:transform_ndn-210_lite:-:*:*:*:*:*:*:*
cpe:2.3:h:barco:transform_ndn-210_pro:-:*:*:*:*:*:*:*
cpe:2.3:h:barco:transform_ndn-211_lite:-:*:*:*:*:*:*:*
cpe:2.3:h:barco:transform_ndn-211_pro:-:*:*:*:*:*:*:*