ICS-CERT informuje o nowych podatnościach w produktach firmy Rockwell Automation. (P23-178)

cert.pse-online.pl 1 rok temu
ProduktThinManager ThinServer: wersje 13.0.0 — 13.0.2 i 13.1.0
Numer CVECVE-2023-2913
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
OpisPlik wykonywalny używany w produktach, których dotyczy problem, można skonfigurować tak, aby włączał funkcję API w ustawieniach serwera HTTPS. Ta funkcja jest domyślnie wyłączona. Gdy interfejs API jest włączony i obsługuje żądania, istnieje luka w zabezpieczeniach związana z przechodzeniem ścieżki, która może umożliwić zdalnemu aktorowi wykorzystanie uprawnień systemu plików serwera i odczytanie dowolnych przechowywanych w nim plików. Złośliwy użytkownik może wykorzystać tę lukę, uruchamiając ścieżkę zawierającą manipulujące zmienne.
AktualizacjaTAK
Linkhttps://www.cisa.gov/news-events/ics-advisories/icsa-23-206-02
Idź do oryginalnego materiału