PT-2020-11066 · Wago · E!Cockpit+1
Publicado
2020-03-10
·
Atualizado
2021-07-21
·
CVE-2019-5106
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
WAGO e!Cockpit versão 1.5.1.1
Descrição
Existe uma vulnerabilidade relacionada a uma chave de criptografia codificada de forma rígida na funcionalidade de autenticação. Um invasor com acesso às comunicações entre o e!Cockpit e o CoDeSyS Gateway pode recuperar a senha de qualquer usuário que tente fazer login, em texto simples.
Recomendações
Para o WAGO e!Cockpit versão 1.5.1.1, considere restringir o acesso à funcionalidade de autenticação até que uma correção esteja disponível. Como solução temporária, limite a comunicação entre o e!Cockpit e o CoDeSyS Gateway para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Codesys Gateway
E!Cockpit