PT-2020-20295 · Gurux · Gurux Gxdlms Director
Maciej Miszczyk
·
Publicado
2020-02-25
·
Atualizado
2020-02-27
·
CVE-2020-8809
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Gurux GXDLMS Director anteriores à 8.5.1905.1301
Descrição
A vulnerabilidade permite que um invasor do tipo man-in-the-middle modifique o conteúdo de
gurux.fi/obis/files.xml e gurux.fi/updates/updates.xml, levando o usuário a baixar atualizações por meio de uma conexão HTTP não criptografada. Isso pode levar à execução de código, seja diretamente por meio de complementos, se utilizados, ou por meio de códigos OBIS, necessários para a comunicação com medidores de energia.Recomendações
Para versões anteriores à 8.5.1905.1301, atualize para a versão 8.5.1905.1301 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso aos arquivos
gurux.fi/obis/files.xml e gurux.fi/updates/updates.xml para minimizar o risco de exploração. Evite usar conexões HTTP não criptografadas para baixar atualizações até que o problema seja resolvido.Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gurux Gxdlms Director