Multiples vulnérabilités dans EyesOfNetwork

De multiples vulnérabilités ont été découvertes dans EyesOfNetwork, un outil de supervision systèmes et réseaux distribué avec un système d’exploitation dédié de type Linux. Ces vulnérabilités permettent à un attaquant de compromettre la confidentialité de la base de données de l’outil, ainsi que réaliser un déni de service sur le service SQL de la machine.

CVE-2020-8656 [Score CVSS v3 : 9.8] : Une vulnérabilité de type injection SQL a été découverte dans l’API de EyesOfNetwork. Un attaquant pouvant envoyer des requêtes HTTP à la machine et exploitant cette faille pourrait obtenir des informations sensibles stockées dans la base de données de l’outil, ainsi que conduire à une situation de déni de service en insérant une directive sleep() mettant en pause le processus pour une durée indéterminée.

CVE-2020-8657 [Score CVSS v3 : 9.8] : Une vulnérabilité liée à des paramètres prédictibles a été découverte dans l’API de EyesOfNetwork. La clé d’accès à l’API par défaut restant inchangée après installation du service, un attaquant peut utiliser cette particularité pour deviner la valeur du jeton d’authentification administrateur à l’API, accédant ainsi à des fonctionnalités et informations sensibles.