Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Komandoen injekzio erako ahultasuna Moxa-ren NPort W2x50An

Argitalpen data: 2018/11/30

Garrantzia: Handia

Kaltetutako baliabideak:

  • Moxa NPort W2x50A, firmwarearen 2.1 Build_17112017 bertsioa eta lehenagokoak.

Azalpena:

Moxa NPort V2x50A-n komandoen injekzio erako ahultasun bat aurkitu da, eta hori baliatuz erasotzaile batek sisteman komandoak injekta litzake eta kodea exekutatzea lortu.

Konponbidea:

Xehetasuna:

  • Web zerbitzarian autentifikatutako erasotzaile batek sistema komandoak injekta litzake ping edo wlan profile eskaeretan, eta bereziki diseinatutako POST pakete bat bidali /goform/net_WebPingGetValue-ra edo /goform/net_WebSettingProfileSecurity-ra, eta kodea exekutatzea lortu. Ahultasun horretarako CVE-2018-19659 eta CVE-2018-19660 identifikatzaileak erreserbatu dira.
Etiketak: Eguneraketa, Ahultasuna