PT-2020-11080 · Wago · Wago Pfc 200

Publicado

2020-03-10

Atualizado

2020-03-18

CVE-2019-5157

CVSS v3.1

7.2

Alta

Vetor

AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões de firmware do WAGO PFC200 de 03.00.39(12) a 03.02.02 (14)

Descrição

Existe uma vulnerabilidade de injeção de comando explorável na funcionalidade de conectividade em nuvem. Um invasor pode injetar comandos do sistema operacional no valor do parâmetro TimeoutUnconfirmed contido no comando de atualização de firmware.

Recomendações

Para as versões 03.00.39(12) a 03.02.02(14), considere restringir o acesso ao comando de atualização de firmware para minimizar o risco de exploração.

Como solução temporária, evite usar o parâmetro TimeoutUnconfirmed no comando de atualização de firmware até que um patch esteja disponível.

Exploit

Correção

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78

Identificadores relacionados

CVE-2019-5157

Produtos afetados

Wago Pfc 200

PT-2020-11080 · Wago · Wago Pfc 200

CVE-2019-5157

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 4