CVE-2020-15920

EPSS 98.2%

Vexday Risk Score

60Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 98.2%KEV nãoPoC públicaNuclei simMetasploit simPatch —

Ciclo de vida

24 jul 2020Exploit Metasploit disponível

24 jul 2020Publicada no NVD

27 ago 2020PoC pública

Recomendação: Planejar correção próxima — já existe PoC pública.

There is an OS Command Injection in Mida eFramework through 2.9.0 that allows an attacker to achieve Remote Code Execution (RCE) with administrative (root) privileges. No authentication is required.

Produtos afetados

n/a · n/a

PoCs públicas encontradas — 3

cve_referencepacketstormsecurity.com/files/158991/Mida-eFramework-2.9.0-Remote-Code-Execution.htmlnão verificado cve_referencepacketstormsecurity.com/files/159194/Mida-Solutions-eFramework-ajaxreq.php-Command-Injection.htmlnão verificado exploitdbwww.exploit-db.com/exploits/48768não verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://packetstormsecurity.com/files/158991/Mida-eFramework-2.9.0-Remote-Code-Execution.html http://packetstormsecurity.com/files/159194/Mida-Solutions-eFramework-ajaxreq.php-Command-Injection.html https://elbae.github.io/jekyll/update/2020/07/14/vulns-01.html