CVE-2020-35847

CVE-2020-35847

EPSS 98.3%

Vexday Risk Score

60Atenção

Decisão SSVC (CISA)

Attend

PoC disponível → acompanhar de perto

CVSS —EPSS 98.3%KEV nãoPoC públicaNuclei simMetasploit simPatch —

Ciclo de vida

30 dez 2020Publicada no NVD

13 abr 2021Exploit Metasploit disponível

06 ago 2021PoC pública

Recomendação: Planejar correção próxima — já existe PoC pública.

Agentejo Cockpit before 0.11.2 allows NoSQL injection via the Controller/Auth.php resetpassword function.

Produtos afetados

PoCs públicas encontradas — 4

githubgithub.com/w33vils/CVE-2020-35847_CVE-2020-35848★ 0 exploitdbwww.exploit-db.com/exploits/50185não verificado cve_referencepacketstormsecurity.com/files/162282/Cockpit-CMS-0.11.1-NoSQL-Injection-Remote-Command-Execution.htmlnão verificado cve_referencepacketstormsecurity.com/files/163762/Cockpit-CMS-0.11.1-NoSQL-Injection.htmlnão verificado

⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

http://packetstormsecurity.com/files/162282/Cockpit-CMS-0.11.1-NoSQL-Injection-Remote-Command-Execution.html http://packetstormsecurity.com/files/163762/Cockpit-CMS-0.11.1-NoSQL-Injection.html https://getcockpit.com/https://github.com/agentejo/cockpit/commit/2a385af8d80ed60d40d386ed813c1039db00c466 https://github.com/agentejo/cockpit/commit/33e7199575631ba1f74cba6b16b10c820bec59af https://github.com/agentejo/cockpit/commit/79fc9631ffa29146e3124ceaf99879b92e1ef24b