CVE-2020-27887
Présentation
Une injection de commande est possible dans lilac, le paramètre d’injection est nmap_binary. Un utilisateur identifié avec des privilèges suffisants peut utiliser l’Autodiscovery pour executer du code arbitraire.
Exploitation
Versions concernée(s)
EON 5.3 (Toutes les versions)
Versions patchées
Non patchée.
Correction
Non corrigée.
Liens relatifs
https://h4knet.medium.com/exploiting-sql-injections-in-eyesofnetwork-baacab0b9e7b https://github.com/EyesOfNetworkCommunity/eonweb/issues/76 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-27887