Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2018/11/30

Garrantzia: Handia

Kaltetutako baliabideak:

• Moxa NPort W2x50A, firmwarearen 2.1 Build_17112017 bertsioa eta lehenagokoak.

Azalpena:

Moxa NPort V2x50A-n komandoen injekzio erako ahultasun bat aurkitu da, eta hori baliatuz erasotzaile batek sisteman komandoak injekta litzake eta kodea exekutatzea lortu.

Konponbidea:

• NPort W2x50A 2.2 Build_18082311 edo geroagoko bertsiora eguneratzea

Xehetasuna:

• Web zerbitzarian autentifikatutako erasotzaile batek sistema komandoak injekta litzake ping edo wlan profile eskaeretan, eta bereziki diseinatutako POST pakete bat bidali /goform/net_WebPingGetValue-ra edo /goform/net_WebSettingProfileSecurity-ra, eta kodea exekutatzea lortu. Ahultasun horretarako CVE-2018-19659 eta CVE-2018-19660 identifikatzaileak erreserbatu dira.