PT-2020-12981 · Advantech · Advantech Webaccess Node
Publicado
2020-04-08
·
Atualizado
2021-09-23
·
CVE-2020-12010
CVSS v3.1
7.1
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Advantech WebAccess Node versões 8.4.4 e anteriores
Advantech WebAccess Node versão 9.0.0
Descrição
Existem várias vulnerabilidades de traversal de caminho relativo que podem permitir que um usuário autenticado utilize um arquivo especialmente criado para excluir arquivos fora do controle do aplicativo. O problema envolve o uso de comandos IOCTL, incluindo 0x2711, 0x2715 e 0x2738, o que pode levar a vulnerabilidades de exclusão arbitrária de arquivos em vários componentes, como BwFLApp, BwPFile e BwPSLink.
Recomendações
Para as versões 8.4.4 e anteriores do Advantech WebAccess Node, considere restringir o acesso ao aplicativo até que uma correção esteja disponível.
Para a versão 9.0.0 do Advantech WebAccess Node, considere desativar o uso dos comandos IOCTL 0x2711, 0x2715 e 0x2738 como uma solução temporária até que uma correção esteja disponível.
Como medida de mitigação geral, restrinja o acesso aos componentes vulneráveis, como BwFLApp, BwPFile e BwPSLink, para minimizar o risco de exploração.
Correção
Relative Path Traversal
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Advantech Webaccess Node