No Magic TeamworkCloud 安全漏洞

CNNVD-ID编号	CNNVD-202012-1621
CVE编号	CVE-2020-25507
发布时间	2020-12-28
更新时间	2021-01-05
漏洞类型	其他
漏洞来源	N/A
危险等级	高危
威胁类型	本地
厂商	N/A

漏洞介绍

No Magic TeamworkCloud是美国No Magic公司的一款协作开发和版本模型存储的存储管理软件。该软件提供基于Web的管理界面，提供管理用户帐户，访问控制，LDAP集成，安全连接和项目配置等功能。可部署于云端、本地硬件。

No Magic TeamworkCloud 18.0版本至19.0版本存在安全漏洞，该漏洞源于etc环境的权限分配错误(chmod 777)，允许任何本地非特权用户写入etc环境。攻击者可利用该漏洞可以通过向该文件写入任意代码逐步升级到root，这些代码将在下一次登录、重新启动或环境来源时由root执行。

漏洞补丁

目前厂商已发布升级了No Magic TeamworkCloud 安全漏洞的补丁，No Magic TeamworkCloud 安全漏洞的补丁获取链接：

https://docs.nomagic.com/display/TWCloud190/Installation+on+Linux+using+scripts

参考网址

来源:MISC

链接：https://sick.codes/sick-2020-002/
来源:MISC

链接：https://sick.codes/finding-a-vulnerability-in-teamwork-cloud-server-nomagic-3ds-which-is-used-by-gov-enterprise-to-design-rockets-missiles-and-satellites
来源:CONFIRM

链接：https://community.nomagic.com/finding-and-fixing-wrong-file-permission-twc-installation-t7165.html
来源:MISC

链接：https://github.com/sickcodes/security/blob/master/advisories/SICK-2020-002.md
来源:docs.nomagic.com

链接：https://docs.nomagic.com/display/TWCloud185SP1/Installation+on+Centos+7.
来源:MISC

链接：https://web.archive.org/web/20201219095507/
来源:docs.nomagic.com

链接：https://docs.nomagic.com/pages/viewpage.action?pageId=20846937
来源:MISC

链接：https://web.archive.org/web/20201219155833/
来源:MISC

链接：https://docs.nomagic.com/display/TWCloud190/Installation+on+Linux+using+scripts

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202012-1621