PT-2020-1757 · Moxa · Moxa Awk-3131A
Publicado
2020-02-25
·
Atualizado
2022-06-13
·
CVE-2019-5162
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Firmware Moxa AWK-3131A versão 1.13
Descrição
Existe uma falha de controle de acesso indevido explorável na funcionalidade de configurações da conta
iw webs. Uma entrada de nome de usuário especialmente criada pode causar a sobrescrita da senha de uma conta de usuário existente, resultando em acesso remoto ao shell do dispositivo como esse usuário. Um invasor pode enviar comandos enquanto estiver autenticado como um usuário com privilégios reduzidos para acionar essa falha.Recomendações
Para o firmware Moxa AWK-3131A versão 1.13, considere desativar a funcionalidade de configurações da conta
iw webs até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao dispositivo para minimizar o risco de acesso remoto ao shell. Evite usar entradas de nome de usuário especialmente criadas nas configurações da conta para impedir a substituição das senhas de contas de usuário existentes.Exploit
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Moxa Awk-3131A