PT-2020-1754 · Moxa · Moxa Awk-3131A
Publicado
2020-02-25
·
Atualizado
2022-06-13
·
CVE-2019-5143
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Firmware Moxa AWK-3131A versão 1.13
Descrição
Existe uma vulnerabilidade de string de formato na funcionalidade
conio writestr do iw console, permitindo um estouro do buffer do servidor de tempo quando uma entrada de servidor de tempo especialmente criada é utilizada. Isso pode resultar na execução remota de código. Um invasor, autenticado como usuário com privilégios reduzidos, pode enviar comandos para acionar essa vulnerabilidade.Recomendações
Para o firmware Moxa AWK-3131A versão 1.13, considere desativar a função
conio writestr em iw console como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à configuração do servidor de tempo para minimizar o risco de exploração. Evite usar entradas de servidor de tempo especialmente criadas na versão de firmware afetada até que o problema seja resolvido.Exploit
Correção
Use of Externally-Controlled Format String
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Moxa Awk-3131A