Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Sarrera datuen baliozkotze okerra ABBren CP400 Panel Builder-en

Argitalpen data: 2018/11/29

Garrantzia: Handia

Kaltetutako baliabideak:

  • CP400PB, CP405 eta CP408rako Panel Builder, 2.0.7.05 eta lehenagoko bertsioak.

Azalpena:

Nullcode Team-eko Ivan Sanchez ikertzaileak sarrera datuen baliozkotze okerraren erako ahultasun bat aurkitu du CP400 Panel Builder-en. Hori arrakastaz baliatuz gero, CP400PBren Text Editor-a gelditzea eragin liteke, eta Text Editor-a erabiltzen den ekipoan kode arbitrarioa sartzea eta exekutatzea lor liteke.

Konponbidea:

Ahultasun hori konpondu egin da 2.1.7.21 bertsioan eta ondorengoetan.

Xehetasuna:

Erasotzaile batek ahultasun hori balia lezake erabiltzaile bat engainatuz bereziki diseinatutako fitxategi bat ireki dezan, eta kode arbitrarioa sartzera edo exekutatzera ere irits liteke. Kontuan izan behar da ahultasun hau ezin dela urrunetik baliatu, eta ezta erabiltzailearen interakziorik gabe ere.

Etiketak: Ahultasuna