PT-2020-11083 · Wago · Wago Pfc 200
Publicado
2020-03-10
·
Atualizado
2021-07-21
·
CVE-2019-5160
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
WAGO PFC200, versões de firmware 03.02.02(14), 03.01.07(13) e 03.00.39 (12)
Descrição
Existe uma falha na validação do host na funcionalidade Cloud Connectivity, permitindo que uma solicitação HTTPS POST especialmente criada faça com que o software se conecte a um host não autorizado. Isso resulta em acesso não autorizado à funcionalidade de atualização de firmware. Um invasor pode enviar uma solicitação HTTPS POST autenticada para direcionar o software Cloud Connectivity a se conectar a um nó do Azure IoT Hub controlado pelo invasor.
Recomendações
Para a versão 03.02.02(14), atualize para uma versão que corrija o problema de validação inadequada do host.
Para a versão 03.01.07(13), atualize para uma versão que corrija o problema de validação inadequada do host.
Para a versão 03.00.39(12), atualize para uma versão que corrija o problema de validação inadequada do host.
Como solução alternativa temporária, considere restringir o acesso à funcionalidade Cloud Connectivity até que um patch esteja disponível.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Wago Pfc 200