PT-2020-11079 · Wago · Wago Pfc 200
Publicado
2020-03-10
·
Atualizado
2020-03-18
·
CVE-2019-5156
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
WAGO PFC200, versões 03.00.39(12) a 03.02.02(14)
Descrição
Existe uma vulnerabilidade de injeção de comando explorável na funcionalidade de conectividade em nuvem. Um invasor pode injetar comandos do sistema operacional no valor do parâmetro
TimeoutPrepared contido no comando de atualização de firmware.Recomendações
Para as versões 03.00.39(12) a 03.02.02(14), considere restringir o acesso ao comando de atualização de firmware para minimizar o risco de exploração.
Como solução alternativa temporária, evite usar o parâmetro
TimeoutPrepared no comando de atualização de firmware até que um patch esteja disponível.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Wago Pfc 200