Siemens · Digsi 4 · CVE-2020-25245
**Nome do software vulnerável e versões afetadas:
Versões do DIGSI anteriores à V4.94 SP1 HF 1
Descrição:
Foi identificada uma falha de segurança em que várias pastas no diretório %PATH% são graváveis por usuários comuns. Como essas pastas são incluídas na busca por DLLs, um invasor poderia potencialmente colocar DLLs maliciosas nessas pastas, as quais seriam executadas pelo usuário SYSTEM.
Recomendações:
Para versões anteriores à V4.94 SP1 HF 1, atualize para a versão V4.94 SP1 HF 1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso de gravação às pastas incluídas no %PATH% para impedir a colocação de DLLs maliciosas.