CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2020-15778

Low
Published: Translated: NVD NIST

Summary

W OpenSSH w wersji do 8.3p1 występuje podatność na wstrzykiwanie poleceń w funkcji toremote w pliku scp.c, co można zademonstrować za pomocą znaków backtick w argumencie docelowym. Producent zgłosił, że celowo pomija walidację 'anomalnych transferów argumentów'.

Risk Assessment

Podatność ta może prowadzić do nieautoryzowanego wykonania poleceń na zdalnym serwerze, co stwarza poważne zagrożenie dla bezpieczeństwa systemów organizacji.

Recommendation

Zaleca się aktualizację OpenSSH do najnowszej wersji, aby usunąć tę podatność oraz wprowadzenie dodatkowych mechanizmów walidacji argumentów w skryptach korzystających z scp.

Original NVD description (English source)

scp in OpenSSH through 8.3p1 allows command injection in the scp.c toremote function, as demonstrated by backtick characters in the destination argument. NOTE: the vendor reportedly has stated that they intentionally omit validation of "anomalous argument transfers" because that could "stand a great

Vulnerability data from NVD (NIST) · CISA KEV · EPSS