Vulnerabilidad en Ahsay AhsayCBS (CVE-2022-37027)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
21/09/2022
Última modificación:
28/05/2025
Descripción
Ahsay AhsayCBS versión 9.1.4.0, permite a un usuario autenticado del sistema inyectar opciones arbitrarias de Java JVM. Los administradores que pueden modificar las opciones de tiempo de ejecución en la interfaz web pueden inyectar opciones de tiempo de ejecución de Java. Estas presentan efecto después de un reinicio. Por ejemplo, un atacante puede habilitar los servicios JMX y, en consecuencia, lograr ]una ejecución de código remota como usuario del sistema
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ahsay:cloud_backup_suite:9.1.4.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://wiki.ahsay.com/doku.php?id=public%3Aresources%3Arelease_notes_v9320
- https://www.ahsay.com/jsp/en/downloads/ahsay-downloads_latest-software_ahsaycbs.jsp
- https://www.ahsay.com/partners/en/home/index.jsp?pageContentKey=ahsay_assets_latest_hotfix
- https://www.compass-security.com/en/research/advisories
- https://www.compass-security.com/fileadmin/Research/Advisories/2022_12_CSNC-2022-009_AhsayCBS_Java_Runtime_Parameter_Injection.txt
- https://wiki.ahsay.com/doku.php?id=public%3Aresources%3Arelease_notes_v9320
- https://www.ahsay.com/jsp/en/downloads/ahsay-downloads_latest-software_ahsaycbs.jsp
- https://www.ahsay.com/partners/en/home/index.jsp?pageContentKey=ahsay_assets_latest_hotfix
- https://www.compass-security.com/en/research/advisories
- https://www.compass-security.com/fileadmin/Research/Advisories/2022_12_CSNC-2022-009_AhsayCBS_Java_Runtime_Parameter_Injection.txt