PT-2020-10001 · Blaauw · Blaauw Remote Kiln Control
Publicado
2020-05-07
·
Atualizado
2020-05-12
·
CVE-2019-18870
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Blaauw Remote Kiln Control até a v3.00r4
Descrição
Uma vulnerabilidade de traversal de caminho através do parâmetro
iniFile no arquivo excel.php permite que um invasor autenticado baixe arquivos arbitrários da máquina host.Recomendações
Para versões até v3.00r4, considere restringir o acesso ao arquivo
excel.php ou ao parâmetro iniFile para minimizar o risco de exploração. Como solução temporária, evite usar o parâmetro iniFile no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Blaauw Remote Kiln Control