Argitalpen data: 2018/11/30
Garrantzia: Handia
Kaltetutako baliabideak:
- Moxa NPort W2x50A, firmwarearen 2.1
Build_17112017 bertsioa eta lehenagokoak.
Azalpena:
Moxa NPort V2x50A-n komandoen
injekzio erako ahultasun bat aurkitu da, eta hori baliatuz erasotzaile batek
sisteman komandoak injekta litzake eta kodea exekutatzea lortu.
Konponbidea:
Xehetasuna:
- Web zerbitzarian autentifikatutako
erasotzaile batek sistema komandoak injekta litzake ping edo wlan
profile eskaeretan, eta bereziki diseinatutako POST pakete bat bidali /goform/net_WebPingGetValue-ra edo /goform/net_WebSettingProfileSecurity-ra, eta kodea exekutatzea
lortu. Ahultasun horretarako CVE-2018-19659
eta CVE-2018-19660 identifikatzaileak erreserbatu dira.
Etiketak: Eguneraketa,
Ahultasuna