PT-2020-9416 · Ozw672+1 · Ozw672+1
Maxim Rupp
·
Publicado
2020-02-11
·
Atualizado
2021-11-01
·
CVE-2019-13941
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do OZW672 anteriores à V10.00
Versões do OZW772 anteriores à V10.00
Descrição:
Foi identificada uma falha de segurança em que versões vulneráveis do OZW Web Server utilizam nomes de caminho previsíveis para arquivos de projeto criados por usuários autenticados por meio da função de exportação. Isso permite que um invasor remoto baixe arquivos de projeto sem autenticação, acessando um localizador uniforme de recursos específico no servidor web. A falha pode ser explorada por um invasor não autenticado com acesso à rede, sem a necessidade de qualquer interação do usuário. A exploração bem-sucedida compromete a confidencialidade do sistema visado.
Recomendações:
Para versões do OZW672 anteriores à V10.00, atualize para a versão V10.00 ou posterior para resolver o problema.
Para versões do OZW772 anteriores à V10.00, atualize para a versão V10.00 ou posterior para resolver o problema.
Correção
Files Accessible to External Parties
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ozw672
Ozw772