PT-2020-19205 · Eaton · Intelligent Power Manager
Ivathmican Sivakumaran
·
Publicado
2020-05-07
·
Atualizado
2020-05-12
·
CVE-2020-6651
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Intelligent Power Manager (IPM) da Eaton, versões 1.67 e anteriores
Descrição
O problema está relacionado à validação inadequada de nomes de arquivos durante a importação de arquivos de configuração. Isso permite que invasores realizem injeção de comandos ou execução de código por meio de nomes de arquivos especialmente criados para esse fim ao fazer o upload do arquivo de configuração no aplicativo.
Recomendações
Para as versões 1.67 e anteriores, considere restringir a importação de arquivos de configuração ou validar nomes de arquivos para impedir que nomes especialmente criados sejam carregados até que uma correção esteja disponível.
Como solução alternativa temporária, evite usar a funcionalidade de importação de arquivos para arquivos de configuração até que o problema seja resolvido.
Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Intelligent Power Manager