PT-2020-18615 · Mitsubishi · Got 1000 Series
Publicado
2020-11-06
·
Atualizado
2020-11-20
·
CVE-2020-5648
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Série GOT 1000 GT1455-QTBDE, versões do CoreOS 05.65.00.BD e anteriores
Série GOT 1000 GT1450-QMBDE, versões do CoreOS 05.65.00.BD e anteriores
Série GOT 1000 GT1450-QLBDE, versões do CoreOS 05.65.00.BD e anteriores
Série GOT 1000 GT1455HS-QTBDE, versões do CoreOS 05.65.00.BD e anteriores
Série GOT 1000 GT1450HS-QMBDE versões do CoreOS 05.65.00.BD e anteriores
Descrição
O problema está relacionado à neutralização inadequada de delimitadores de argumentos em um comando, também conhecida como “injeção de argumentos”, na função TCP/IP incluída no firmware do modelo GT14 da série GOT 1000. Isso permite que invasores não autenticados em uma rede adjacente interrompam as funções de rede dos produtos por meio de um pacote especialmente criado.
Recomendações
Para a série GOT 1000 GT1455-QTBDE versões CoreOS 05.65.00.BD e anteriores, atualize para uma versão posterior à 05.65.00.BD.
Para a série GOT 1000 GT1450-QMBDE com versões do CoreOS 05.65.00.BD e anteriores, atualize para uma versão posterior à 05.65.00.BD.
Para a série GOT 1000 GT1450-QLBDE com versões do CoreOS 05.65.00.BD e anteriores, atualize para uma versão posterior à 05.65.00.BD.
Para a série GOT 1000 GT1455HS-QTBDE com versões do CoreOS 05.65.00.BD e anteriores, atualize para uma versão posterior à 05.65.00.BD.
Para a série GOT 1000 GT1450HS-QMBDE com versões do CoreOS 05.65.00.BD e anteriores, atualize para uma versão posterior à 05.65.00.BD.
Como solução alternativa temporária, considere restringir o acesso à função TCP/IP para minimizar o risco de exploração.
Correção
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Got 1000 Series