CVE-2020-8657
CVE-2020-8657
Em resumo
EyesOfNetwork 5.3 usa a mesma chave de API codificada para todas as instalações, permitindo que atacantes adivinhem o token de administrador e ganhem acesso não autorizado.
Detalhe técnico
A aplicação emprega uma chave de API idêntica e codificada em todas as instalações padrão (CWE-798: Uso de Credenciais Codificadas). Um atacante não autenticado consegue derivar tokens de autenticação válidos de administrador sem credenciais legítimas, resultando em comprometimento completo do sistema de monitoramento.
Resumo gerado e traduzido por IA a partir da descrição oficial.
An issue was discovered in EyesOfNetwork 5.3. The installation uses the same API key (hardcoded as EONAPI_KEY in include/api_functions.php for API version 2.4.2) by default for all installations, hence allowing an attacker to calculate/guess the admin access token.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · n/aPoCs públicas encontradas — 2
cve_referencepacketstormsecurity.com/files/156605/EyesOfNetwork-AutoDiscovery-Target-Command-Execution.htmlnão verificadoexploitdbwww.exploit-db.com/exploits/48169não verificado⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →