CVE-2018-11138
CVE-2018-11138
Vexday Risk Score
100Corrigir agora
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 9.8EPSS 91.9%KEV simPoC públicaNuclei simMetasploit simPatch —
Ciclo de vida
31 mai 2018Exploit Metasploit disponível
31 mai 2018Publicada no NVD
27 jun 2018PoC pública
25 mar 2022Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Um script desprotegido no Quest KACE permite que qualquer pessoa na internet execute qualquer comando no servidor. Isso é extremamente perigoso porque invasores podem assumir controle total do sistema sem precisar de senha.
Detalhe técnico
Injeção de Comando OS (CWE-78) através de acesso não autenticado ao script '/common/download_agent_installer.php' no KACE 8.0.318. O script não valida entrada do usuário nem realiza verificação de autorização, permitindo que atacantes remotos executem comandos arbitrários com privilégios do sistema. Impacto inclui comprometimento total.
Resumo gerado e traduzido por IA a partir da descrição oficial.
The '/common/download_agent_installer.php' script in the Quest KACE System Management Appliance 8.0.318 is accessible by anonymous users and can be abused to execute arbitrary commands on the system.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
cve_referencewww.exploit-db.com/exploits/44950/não verificadoexploitdbwww.exploit-db.com/exploits/44950não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →