PT-2020-11077 · Lighttpd+2 · Lighttpd+4
Patrick Desantis
·
Publicado
2020-03-10
·
Atualizado
2020-03-13
·
CVE-2019-5149
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do WAGO PFC100 anteriores à 03.02.02
Versões do WAGO PFC2000 anteriores à 03.01.07
Descrição
A aplicação web WBM é executada em um servidor web lighttpd e utiliza o módulo FastCGI para proporcionar alto desempenho a aplicações da Internet. No entanto, a configuração padrão desse módulo limita o número de processos php-cgi simultâneos a dois, o que pode ser explorado para causar uma negação de serviço em todo o servidor web.
Recomendações
Para versões do WAGO PFC100 anteriores à 03.02.02, atualize para a versão 03.02.02 ou posterior para resolver o problema.
Para versões do WAGO PFC2000 anteriores à 03.01.07, atualize para a versão 03.01.07 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso ao módulo FastCGI para minimizar o risco de exploração.
Exploit
Correção
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fastcgi
Wago Pfc100
Wago Pfc2000
Lighttpd
Php-Cgi