EyesOfNetwork - Solution de supervision du système d'information

Présentation

Une injection SQL est possible dans eonapi, le paramètre d’injection est getApiKey. Cette injection permet notamment de bypass l’authentification et donc permet à un utilisateur quelconque de s’identifier sans login.

Exploitation

EONRCEv1

Versions concernée(s)

EON 5.3-0

Versions patchées

EON 5.3-1

Correction

Télécharger la dernière version d’EON patchée.

Liens relatifs

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8656

http://packetstormsecurity.com/files/156266/EyesOfNetwork-5.3-Remote-Code-Execution.html

http://packetstormsecurity.com/files/156605/EyesOfNetwork-AutoDiscovery-Target-Command-Execution.html

https://github.com/EyesOfNetworkCommunity/eonweb/issues/16