PT-2020-12997 · Rockwell Automation · Factorytalk View Se
Publicado
2020-01-30
·
Atualizado
2022-01-04
·
CVE-2020-12029
CVSS v3.1
9.0
Crítica
| Vetor | AV:L/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do FactoryTalk View SE (versões afetadas não especificadas)
Descrição
O problema está relacionado à validação inadequada dos nomes de arquivos de entrada dentro de um diretório de projeto, permitindo que um invasor remoto e não autenticado possa executar um arquivo malicioso em um terminal remoto, resultando na execução remota de código (RCE).
Recomendações
Aplique o patch 1126289, mas primeiro certifique-se de que o pacote de patches datado de 6 de abril de 2020 ou posterior esteja instalado.
Como solução alternativa temporária, considere restringir o acesso ao diretório do projeto para minimizar o risco de exploração.
Exploit
Correção
Path traversal
Relative Path Traversal
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Factorytalk View Se