Vulnérabilité dans rConfig
Date de publication :
Une vulnérabilité a été découverte dans rConfig, un outil de gestion de réseaux. Elle peut permettre à un attaquant de provoquer une exécution de code arbitraire à distance.
CVE-2020-12255 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant conduire à une exécution de code arbitraire à distance a été découverte dans rConfig. Elle est due à un défaut dans la validation des fichiers téléversés. La fonction vendor.crud.php accepte les fichiers téléversés en vérifiant le type de contenu sans considérer l’extension de fichier et l’entête. Un attaquant peut exploiter cette vulnérabilité en téléversant un fichier PHP contenant du code PHP tout en changeant le type de contenu en image/GIF.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Exécution de code arbitraire
Criticité
- Score CVSS v3 : 8.8
Existence d’un code d’exploitation
- Des explications suffisamment détaillées sont disponibles pour pouvoir exploiter la vulnérabilité.
Composants vulnérables
- rConfig version 3.9.4
CVE
- CVE-2020-12255
Solutions ou recommandations
Mise en place de correctifs de sécurité
Passer sur une version non vulnérable de rConfig (3.9.5 ou supérieure)
Solution de contournement
Aucune solution de contournement n’est disponible