PT-2020-1751 · Moxa · Moxa Awk-3131A
Publicado
2020-02-25
·
Atualizado
2022-06-13
·
CVE-2019-5140
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Firmware Moxa AWK-3131A versão 1.13
Descrição
A vulnerabilidade existe devido à falta de neutralização de elementos especiais utilizados em um comando do sistema operacional. Isso permite uma vulnerabilidade de injeção de comando na funcionalidade iwwebs, na qual um nome de arquivo de script de diagnóstico especialmente criado pode fazer com que a entrada do usuário seja refletida em uma chamada
iwsystem subsequente. Como resultado, um invasor pode obter controle remoto sobre o dispositivo enviando comandos enquanto estiver autenticado como um usuário com privilégios reduzidos.Recomendações
Para o firmware Moxa AWK-3131A versão 1.13, considere desativar a chamada
iwsystem ou restringir o acesso à funcionalidade de script de diagnóstico até que um patch esteja disponível. Além disso, limite os privilégios dos usuários com privilégios reduzidos para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Moxa Awk-3131A