PT-2020-11081 · Wago · E!Cockpit
Publicado
2020-03-10
·
Atualizado
2020-03-17
·
CVE-2019-5158
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Software de automação WAGO e!COCKPIT, versão 1.6.1.5
Descrição
Existe uma falha na funcionalidade do pacote de atualização de firmware, permitindo que um arquivo de atualização de firmware especialmente criado instale uma versão mais antiga do firmware. Isso pode ser desencadeado pela criação de um pacote de atualização de firmware personalizado com metadados inválidos, permitindo que um invasor instale uma versão mais antiga enquanto o usuário acredita que uma versão mais recente está sendo instalada.
Recomendações
Para a versão 1.6.1.5, considere verificar a integridade e a autenticidade dos pacotes de atualização de firmware antes da instalação para minimizar o risco de exploração. Como solução temporária, restrinja o acesso à funcionalidade de atualização de firmware até que uma correção esteja disponível.
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
E!Cockpit