PT-2020-17092 · Fujitsu · Fujitsu Eternus Storage Dx200 S4
Publicado
2020-11-30
·
Atualizado
2020-12-04
·
CVE-2020-29127
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Dispositivos Fujitsu Eternus Storage DX200 S4 até 25/11/2020
Descrição
Foi descoberta uma falha que permite o acesso ao portal com privilégios de root quando um URI específico é visitado a partir de um navegador da Web diferente após o login como usuário root. O URI afetado é “cgi-bin/csp?cspid={XXXXXXXXXX}&csppage=cgi PgOverview&csplang=en”.
Recomendações
Para dispositivos Fujitsu Eternus Storage DX200 S4 até 25/11/2020, como solução temporária, considere restringir o acesso ao endpoint “cgi-bin/csp” até que um patch esteja disponível. Evite usar os parâmetros
cspid, csppage e csplang no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fujitsu Eternus Storage Dx200 S4