Argitalpen data: 2020/10/16
Garrantzia:
Altua
Kaltetutako baliabideak:
- WebAccess/SCADA, 9.0 bertsioa eta aurrekoak;
- R-SeeNet, 1.5.1etik 2.4.10erako bertsioak.
Azalpena:
Trend Micro erakundeko ZDIko Sivathmican
Sivakumaran ikertzaileek eta rgod izenez ezaguna denak, Trend Micro erakundeko
ZDIrekin lankidetzan, 2 ahultasunen berri eman dute, biak larritasun handikoak,
artxibo izen edo ibilbidearen kanpo kontrol edo SQL injekzio motakoak.
Konponbidea:
Xehetasunak:
- WebAccess/SCADA sistemako WADashboard osagaiaren bidez, erasotzaile batek artxiboen sistemako operazio batean erabilitako ibilbide batean eragin lezake edo kontrolatu lezake, administrari gisa kodea urrunetik exekutatzeko aukera emanez. Ahultasun horretarako, CVE-2020-25161 identifikatzailea esleitu da.
- R-SeeNet delakoaren web orriak SQL injekzio bat jasan lezake. Horren bidez, urrutiko erasotzaile batek datu-baseetako kontsultak egin litzake eta informazio konfidentziala lortu. Ahultasun horretarako, CVE-2020-25157 identifikatzailea esleitu da.
Etiketak: Eguneratzea, Azpiegitura kritikoak, SCADA, Ahultasuna.