Schwachstelle in Avaya Web License Manager

Title

Blind Out-Of-Band XML External Entity Injection (Authenticated)

Product

Avaya Web License Manager

Vulnerable Version

6.x, 7.0 through 7.1.3.6, 8.0 through 8.1.2.0.0

Fixed Version

7.1.3.7 and 8.1.3

CVE Number

CVE-2020-7032

Impact

medium

Found

29.02.2020

By

M. Koplin (Office Munich) | SEC Consult Vulnerability Lab

Durch Ausnutzen einer XXE Injection ist es möglich vertrauliche Daten wie die /etc/shadow oder private keys zu lesen. Außerdem kann durch eine spezielle Payload die Verfügbarkeit der Webapplikation beeinträchtigt werden.

Zum vollständigen Advisory (Englisch).

Researcher: Markus Koplin / @2020

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.