Vulnerabilità: CVE-2020-35710

Parallels Remote Application Server (RAS) 18 consente agli aggressori remoti di scoprire un indirizzo IP intranet perché presentazione del modulo di login (anche con le credenziali vuote) fornisce questo indirizzo per cliente l’attaccante per l’uso come un valore ""host"". In altre parole, dopo il browser web di un utente malintenzionato invia una richiesta al form di login, sarebbe inviare automaticamente una seconda richiesta per un RASHTML5Gateway / socket.io URI con qualcosa come ""host"": ""192.168 ### ###"". nei dati POST.


https://twitter.com/amadapa/status/1342407005110218753
https://www.elladodelmal.com/2020/12/blue-team-red-team-como-parallels-ras.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-35710


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi