PT-2020-19206 · Eaton · Eaton Intelligent Power Manager
Zebasquared
·
Publicado
2020-05-07
·
Atualizado
2020-05-12
·
CVE-2020-6652
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Eaton Intelligent Power Manager, versões 1.67 e anteriores
Descrição
A vulnerabilidade permite que usuários sem privilégios de administrador enviem arquivos de configuração do sistema por meio de solicitações especialmente criadas, o que pode resultar na manipulação das configurações do sistema por esses usuários, por meio do envio de configurações com parâmetros incorretos.
Recomendações
Para as versões 1.67 e anteriores, considere restringir o acesso ao recurso de upload de configuração do sistema para impedir que usuários não administradores manipulem as configurações do sistema até que uma correção esteja disponível.
Como solução alternativa temporária, limite a capacidade de usuários não administradores de enviar solicitações especialmente criadas para o sistema.
Restrinja o acesso aos arquivos de configuração do sistema para minimizar o risco de exploração.
Correção
Incorrect Privilege Assignment
Improper Privilege Management
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Eaton Intelligent Power Manager