Vulnerabilidad en el componente documentation en i-net Clear Reports, HelpDesk y PDFC (CVE-2020-11431)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
07/05/2020
Última modificación:
12/05/2020
Descripción
El componente documentation en i-net Clear Reports versiones 16.0 hasta 19.2, HelpDesk versiones 8.0 hasta 8.3 y PDFC versiones 4.3 hasta 6.2, permite a un atacante remoto no autenticado leer archivos y directorios arbitrarios del sistema en el servidor objetivo por medio de un Salto de Directorio.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:inetsoftware:clear_reports:*:*:*:*:*:*:*:* | 16.0 (incluyendo) | 19.2 (incluyendo) |
| cpe:2.3:a:inetsoftware:helpdesk:*:*:*:*:*:*:*:* | 8.0 (incluyendo) | 8.3 (incluyendo) |
| cpe:2.3:a:inetsoftware:pdfc:*:*:*:*:*:*:*:* | 4.3 (incluyendo) | 6.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://www.inetsoftware.de/documentation/clear-reports/release-notes/releases/changes_19.2
- https://www.inetsoftware.de/support/news/i-net-clear-reports-security-advisory-2020-apr-06
- https://www.inetsoftware.de/support/news/i-net-helpdesk-sicherheitsankuendigung-2020-apr-06
- https://www.inetsoftware.de/support/news/i-net-pdfc-security-advisory-2020-apr-06