PT-2020-16701 · Basetech · Basetech Ge-131
Roman
·
Publicado
2020-11-17
·
Atualizado
2020-12-01
·
CVE-2020-27553
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
BASETech GE-131 BT-1837836, versão de firmware 20180921
Descrição
O servidor web no sistema está configurado com a opção “DocumentRoot /etc”, permitindo que um invasor com acesso à rede baixe quaisquer arquivos da pasta “/etc” sem autenticação. Essa vulnerabilidade pode ser explorada sem a necessidade de sequências de traversal de caminho, permitindo que invasores remotos não autenticados obtenham acesso a informações confidenciais.
Recomendações
Para o firmware BASETech GE-131 BT-1837836 versão 20180921, considere reconfigurar o servidor web para restringir o acesso a arquivos confidenciais na pasta “/etc” ou aplique medidas de segurança alternativas para impedir downloads não autorizados de arquivos até que uma correção esteja disponível.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Basetech Ge-131