PT-2020-1752 · Moxa · Moxa Awk-3131A
Publicado
2020-02-25
·
Atualizado
2022-06-13
·
CVE-2019-5141
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Firmware Moxa AWK-3131A versão 1.13
Descrição
Existe uma vulnerabilidade de injeção de comando na funcionalidade iw webs, permitindo que um invasor obtenha controle remoto sobre o dispositivo. Isso pode ser feito enviando comandos especialmente criados, utilizando o parâmetro
iw serverip, o que pode fazer com que a entrada do usuário seja refletida em uma chamada iw system subsequente. Um invasor pode explorar essa vulnerabilidade enquanto estiver autenticado como um usuário com privilégios reduzidos.Recomendações
Para o firmware Moxa AWK-3131A versão 1.13, considere desativar a funcionalidade
iw webs até que um patch esteja disponível para impedir a exploração da vulnerabilidade de injeção de comando. Restrinja o acesso ao parâmetro iw serverip para minimizar o risco de controle remoto sobre o dispositivo. Evite usar o parâmetro iw serverip no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Moxa Awk-3131A