Vulnérabilité dans rConfig

Une vulnérabilité a été découverte dans rConfig, un outil de gestion de réseaux. Elle peut permettre à un attaquant de provoquer une exécution de code arbitraire à distance.

CVE-2020-12255 [Score CVSS v3 : 8.8] : Une vulnérabilité pouvant conduire à une exécution de code arbitraire à distance a été découverte dans rConfig. Elle est due à un défaut dans la validation des fichiers téléversés. La fonction vendor.crud.php accepte les fichiers téléversés en vérifiant le type de contenu sans considérer l’extension de fichier et l’entête. Un attaquant peut exploiter cette vulnérabilité en téléversant un fichier PHP contenant du code PHP tout en changeant le type de contenu en image/GIF.

Informations
+

Risques

  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 8.8

Existence d’un code d’exploitation

  • Des explications suffisamment détaillées sont disponibles pour pouvoir exploiter la vulnérabilité.

Composants vulnérables

  • rConfig version 3.9.4

CVE

  • CVE-2020-12255


Recommandations
+

Mise en place de correctifs de sécurité

  • Passer sur une version non vulnérable de rConfig (3.9.5 ou supérieure)

Solution de contournement

  • Aucune solution de contournement n’est disponible