PT-2020-14838 · Advantech · Iview
Publicado
2020-08-25
·
Atualizado
2020-08-31
·
CVE-2020-16245
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Advantech iView versões 5.7 e anteriores
Descrição
O produto afetado está sujeito a vulnerabilidades de traversal de caminho, o que poderia permitir que um invasor criasse ou baixasse arquivos arbitrários, limitasse a disponibilidade do sistema e executasse código remotamente. A vulnerabilidade afeta vários componentes, incluindo DeviceTreeTable, NetworkServlet, TaskMgrTable e PSTable, permitindo traversal de diretório, execução remota de código e divulgação de informações.
Recomendações
Para as versões 5.7 e anteriores, atualize para uma versão posterior à 5.7 para resolver o problema.
Como solução temporária, considere restringir o acesso aos componentes afetados, como DeviceTreeTable, NetworkServlet, TaskMgrTable e PSTable, para minimizar o risco de exploração.
Evite usar os pontos de extremidade da API afetados, como
DeviceTreeTable exportTaskMgrReport, NetworkServlet findCfgDeviceListExport, DeviceTreeTable exportInventoryTable, NetworkServlet findSummaryCfgDeviceListExport, TaskMgrTable exportTaskMgrReportDetails, NetworkServlet findUpdateDeviceListExport, NetworkServlet backupDatabase, NetworkServlet findSummaryUpdateDeviceListExport e PSTable exportPSInventoryTable, até que o problema seja resolvido.Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Iview