漏洞关键信息 概要 Druva inSync Client存在多个漏洞,包括未经身份验证的OS命令注入、Python代码注入和命令行参数配置错误。 漏洞详情 1. CVE-2019-3999: 未经身份验证的OS命令注入 描述: Windows Druva inSync Client服务包含命令注入漏洞,可以通过TCP端口6064发送特制的RPC请求利用。 证明概念: 提供了漏洞利用的hexdump和成功利用的log示例。 风险因素: 高 2. CVE-2019-4000: 认证Python代码注入 描述: inSyncDecommission过程通过RPC服务中的daemon.set_file_acl方法的未验证输入,导致Python代码注入。 证明概念: 提供了漏洞函数的Python源码和利用示例。 3. CVE-2019-4001: Electron应用程序命令行参数配置错误 描述: inSync Electron应用配置错误,允许恶意用户执行任意NodeJS代码。 证明概念: 提供了命令行参数值没有验证的代码片段和利用示例。 解决方案 Druva inSync 6.6.0: 修复CVE-2019-3999和CVE-2019-4000。 Druva inSync 6.6.2: 修复CVE-2019-4001。 时间线 披露: 2019年12月26日,Tenable联系Druva安全团队。 报告确认: 2020年2月12日,Tenable发布咨询。 更新: 2020年3月24日,发布Druva inSync 6.6.2。