CVE-2019-5159

Software de automação WAGO e!COCKPIT, versão 1.6.0.7

Existe uma falha de validação de entrada inadequada que pode ser explorada na funcionalidade de atualização de firmware. Um arquivo de atualização de firmware especialmente criado pode permitir que um invasor grave arquivos arbitrários em locais arbitrários nos controladores WAGO, resultando potencialmente na execução de código. Um invasor pode criar um arquivo de pacote de atualização de firmware malicioso usando qualquer utilitário zip. O usuário deve iniciar uma atualização de firmware através do e!COCKPIT e selecionar o arquivo wup malicioso usando o navegador de arquivos para acionar a falha.

Para a versão 1.6.0.7, como solução temporária, considere restringir o uso da funcionalidade de atualização de firmware até que um patch esteja disponível. Evite usar arquivos wup maliciosos ou não verificados no processo de atualização de firmware. Restrinja o acesso ao recurso de atualização de firmware para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.