PT-2020-1749 · Moxa+1 · Moxa Awk-3131A+1
Publicado
2020-02-25
·
Atualizado
2022-06-13
·
CVE-2019-5138
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Firmware Moxa AWK-3131A versão 1.13
Descrição
Existe uma vulnerabilidade de injeção de comando explorável na funcionalidade do script de diagnóstico criptografado. Um arquivo de script de diagnóstico especialmente criado pode fazer com que comandos arbitrários do busybox sejam executados, resultando no controle remoto do dispositivo. Um invasor pode enviar scripts de diagnóstico enquanto estiver autenticado como um usuário com privilégios reduzidos para acionar essa vulnerabilidade. A vulnerabilidade se deve à falta de neutralização de elementos especiais usados no comando do sistema operacional.
Recomendações
Para o firmware Moxa AWK-3131A versão 1.13, considere desativar a funcionalidade de script de diagnóstico até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao dispositivo para minimizar o risco de controle remoto. Evite usar os comandos do busybox no arquivo de script de diagnóstico até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Moxa Awk-3131A
Busybox