← voltar
CVE-2020-0618

CVE-2020-0618

CVSS 9.8 CRITICALEPSS 99.0%● KEVCWE-502
Em resumo

O SQL Server Reporting Services da Microsoft possui uma falha crítica que permite que atacantes executem código malicioso remotamente nos sistemas afetados. Isso ocorre porque o serviço processa incorretamente certas requisições de página, dando aos atacantes uma forma de assumir o controle total do servidor.

Detalhe técnico

Uma vulnerabilidade de execução remota de código no SQL Server Reporting Services resulta do tratamento inadequado de requisições de página, permitindo que atacantes não autenticados executem código arbitrário com os privilégios do processo de Reporting Services. A falha é acionada por requisições HTTP especialmente construídas e pode levar ao comprometimento total do sistema.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A remote code execution vulnerability exists in Microsoft SQL Server Reporting Services when it incorrectly handles page requests, aka 'Microsoft SQL Server Reporting Services Remote Code Execution Vulnerability'.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
Microsoft · Microsoft SQL ServerMicrosoft · Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (CU)Microsoft · Microsoft SQL Server 2014 Service Pack 3 for 32-bit Systems (GDR)Microsoft · Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (CU)Microsoft · Microsoft SQL Server 2014 Service Pack 3 for x64-based Systems (GDR)Microsoft · Microsoft SQL Server 2016 for x64-based Systems Service Pack 2 (GDR)
PoCs públicas encontradas7
githubgithub.com/euphrat1ca/CVE-2020-0618195githubgithub.com/wortell/cve-2020-061830githubgithub.com/itstarsec/CVE-2020-06182githubgithub.com/N3xtGenH4cker/CVE-2020-0618_DETECTION0cve_referencepacketstormsecurity.com/files/159216/Microsoft-SQL-Server-Reporting-Services-2016-Remote-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/48816não verificadocve_referencepacketstormsecurity.com/files/156707/SQL-Server-Reporting-Services-SSRS-ViewState-Deserialization.htmlnão verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://packetstormsecurity.com/files/156707/SQL-Server-Reporting-Services-SSRS-ViewState-Deserialization.htmlhttp://packetstormsecurity.com/files/159216/Microsoft-SQL-Server-Reporting-Services-2016-Remote-Code-Execution.htmlhttps://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0618https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-0618