PT-2021-11125 · Siemens · Digsi 4
Rich Davy
·
Publicado
2021-02-09
·
Atualizado
2021-02-25
·
CVE-2020-25245
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
**Nome do software vulnerável e versões afetadas:
Versões do DIGSI anteriores à V4.94 SP1 HF 1
Descrição:
Foi identificada uma falha de segurança em que várias pastas no diretório %PATH% são graváveis por usuários comuns. Como essas pastas são incluídas na busca por DLLs, um invasor poderia potencialmente colocar DLLs maliciosas nessas pastas, as quais seriam executadas pelo usuário SYSTEM.
Recomendações:
Para versões anteriores à V4.94 SP1 HF 1, atualize para a versão V4.94 SP1 HF 1 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso de gravação às pastas incluídas no %PATH% para impedir a colocação de DLLs maliciosas.
Correção
Incorrect Default Permissions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Digsi 4