PT-2020-15886 · Kyland · Kyland Kps2204
Publicado
2020-12-17
·
Atualizado
2020-12-22
·
CVE-2020-25010
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Kyland KPS2204 Servidores de dispositivos seriais programáveis gerenciados de 6 portas para trilho DIN Versão do software: R0002.P05
Descrição
A vulnerabilidade permite que invasores remotos executem código arbitrário ao enviar um arquivo de script malicioso. Isso é feito através da construção de uma solicitação do tipo POST e da inclusão de uma carga útil nos parâmetros da solicitação como uma instrução para gravar um arquivo.
Recomendações
Para o Kyland KPS2204 Servidores de Dispositivos Seriais Programáveis Gerenciados de 6 Portas em Trilho DIN, Versão do Software: R0002.P05, considere restringir o acesso ao dispositivo para minimizar o risco de exploração até que uma correção esteja disponível. Como solução alternativa temporária, evite usar os
parâmetros de solicitação vulneráveis no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Exploit
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Kyland Kps2204