Vulnérabilité dans des produits F5
Date de publication :
Une vulnérabilité dans SCP impacte des produits édités par F5 Networks. Un attaquant distant autorisé à utiliser SCP sur la machine vulnérable peut exécuter des commandes arbitraires.
CVE-2020-15778 [Score CVSS v3 : 7.8] : Une vulnérabilité de type injection de commandes a été découverte dans SCP. Un attaquant distant autorisé à utiliser SCP sur la machine vulnérable peut exécuter des commandes arbitraires via des noms de fichier spécialement conçus.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Exécution de commandes arbitraires
Criticité
Score CVSS v3 : 7.8
Existence d’un code d’exploitation
Des exemples d’exploitation sont publiquement disponibles sur un dépôt GitHub
Composants vulnérables
SCP toutes versions confondues
CVE
CVE-2020-15778
Solutions ou recommandations
Mise en place de correctifs de sécurité
Aucun correctif de sécurité disponible, les développeurs de OpenSSH (dont fait partie SCP) ont annoncé ne pas vouloir corriger le problème
Solution de contournement
Aucune solution de contournement n’est disponible avec SCP. Il est cependant envisageable de bloquer les accès SCP et le remplacer par rSync (par exemple) lorsque possible.