Présentation

Une injection de commande est possible dans lilac, le paramètre d’injection est nmap_binary. Un utilisateur identifié avec des privilèges suffisants peut utiliser l’Autodiscovery pour executer du code arbitraire.

Exploitation

EONRCEv3

Versions concernée(s)

EON 5.3 (Toutes les versions)

Versions patchées

Non patchée.

Correction

Non corrigée.

Liens relatifs

https://h4knet.medium.com/exploiting-sql-injections-in-eyesofnetwork-baacab0b9e7b https://github.com/EyesOfNetworkCommunity/eonweb/issues/76 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27887