PT-2020-11073 · Wago+1 · Wago Pfc 200+2
Publicado
2020-03-10
·
Atualizado
2021-07-21
·
CVE-2019-5135
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Firmware do WAGO PFC100, versão 03.00.39(12)
Firmware do WAGO PFC200, versões 03.00.39(12) a 03.01.07 (13)
Descrição
Existe uma vulnerabilidade explorável de discrepância de temporização na funcionalidade de autenticação do aplicativo web Web-Based Management (WBM) nos controladores WAGO PFC100/200. O aplicativo WBM utiliza a função PHP
crypt(), que pode ser explorada para divulgar credenciais de usuário hashadas.Recomendações
Para o firmware WAGO PFC100 versão 03.00.39(12), considere desativar a função
crypt() no aplicativo WBM até que um patch esteja disponível.Para as versões de firmware 03.00.39(12) a 03.01.07(13) do WAGO PFC200, considere desativar a função
crypt() no aplicativo WBM até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Use of a Broken Cryptographic Algorithm
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Php
Wago Pfc100
Wago Pfc 200