Vulnérabilités dans Yaws
Date de publication :
Deux vulnérabilités critiques ont été corrigées dans Yaws, un serveur HTTP. Elles peuvent permettre à un attaquant de provoquer une injection de commandes arbitraires.
CVE-2020-24379 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans l’implémentation de WebDAV dans Yaws. Elle peut permettre à un attaquant d’effectuer une attaque de type injection XXE.
CVE-2020-24916 [Score CVSS v3 : 9.8] : Une vulnérabilité a été découverte dans l’implémentation de CGI dans Yaws. Elle peut permettre à un attaquant d’effectuer une attaque de type injection de commandes dans le système d’exploitation.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de commandes
Criticité
- Score CVSS v3 : 9.8
Existence d’un code d’exploitation
- Des codes d’exploitation sont disponibles publiquement pour les deux vulnérabilités
Composants vulnérables
- Yaws versions 1.8.7 à 2.0.7 inclues
CVE
- CVE-2020-24379
- CVE-2020-24916
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Yaws vers une version non vulnérable
Solution de contournement
Aucune solution de contournement