← voltar
CVE-2020-10220

CVE-2020-10220

EPSS 99.7%
Vexday Risk Score
60Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS EPSS 99.7%KEV nãoPoC públicaNuclei simMetasploit simPatch
Ciclo de vida
07 mar 2020Publicada no NVD
11 mar 2020Exploit Metasploit disponível
12 mar 2020PoC pública
Recomendação: Planejar correção próxima — já existe PoC pública.
An issue was discovered in rConfig through 3.9.4. The web interface is prone to a SQL injection via the commands.inc.php searchColumn parameter.
Produtos afetados
n/a · n/a
PoCs públicas encontradas6
githubgithub.com/CSpanias/rConfig_rce0cve_referencepacketstormsecurity.com/files/156688/rConfig-3.9-SQL-Injection.htmlnão verificadocve_referencepacketstormsecurity.com/files/156766/Rconfig-3.x-Chained-Remote-Code-Execution.htmlnão verificadocve_referencepacketstormsecurity.com/files/156950/rConfig-3.9.4-searchField-Remote-Code-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/48223não verificadoexploitdbwww.exploit-db.com/exploits/48208não verificado
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
http://packetstormsecurity.com/files/156688/rConfig-3.9-SQL-Injection.htmlhttp://packetstormsecurity.com/files/156766/Rconfig-3.x-Chained-Remote-Code-Execution.htmlhttp://packetstormsecurity.com/files/156950/rConfig-3.9.4-searchField-Remote-Code-Execution.htmlhttps://github.com/v1k1ngfr/exploits-rconfig/blob/master/rconfig_CVE-2020-10220.pyhttps://github.com/v1k1ngfr/exploits-rconfig/blob/master/rconfig_sqli.py