PT-2020-19805 · Raonwiz · Raonwiz K Upload

Soonchan Hwang

Publicado

2020-05-21

Atualizado

2023-05-08

CVE-2020-7808

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

RAONWIZ K Upload versões 2018.0.2.51 e anteriores

Descrição

A vulnerabilidade permite que um invasor modifique argumentos no módulo de atualização, especificamente no arquivo web.js, devido à ausência de uma verificação de integridade durante o processamento da atualização automática. Isso pode levar ao download de uma DLL aleatória e à sua subsequente injeção.

Recomendações

Para as versões 2018.0.2.51 e anteriores do RAONWIZ K Upload, considere desativar o recurso de atualização automática até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso ao módulo de atualização, especificamente ao arquivo web.js, para minimizar o risco de injeção de DLL.

Correção

Argument Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-353CWE-88

Identificadores relacionados

CVE-2020-7808

Produtos afetados

Raonwiz K Upload

PT-2020-19805 · Raonwiz · Raonwiz K Upload

CVE-2020-7808

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 5