Vulnerabilidad en el archivo split_card_cmd.php en el parámetro http "locking" en NDN-210 en Barco TransForm N (CVE-2020-17503)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-77
Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
08/01/2021
Última modificación:
14/01/2021
Descripción
El NDN-210 presenta un panel de administración web que está disponible a través de https. Se presenta un problema de inyección de comando que permitirá a usuarios autenticados en el panel de administración llevar a cabo una ejecución de código remota autenticada. Se presenta un problema en el archivo split_card_cmd.php en el que el parámetro http "locking" no es manejado apropiadamente. El NDN-210 es parte de la solución de Barco TransForm N y esta vulnerabilidad está parcheada a partir de TransForm N versión 3.8 en adelante
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:barco:transform_n:*:*:*:*:*:*:*:* | 3.8 (excluyendo) | |
| cpe:2.3:h:barco:transform_ndn-210_lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-210_pro:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-211_lite:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:barco:transform_ndn-211_pro:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página