PT-2021-15432 · Eaton · Eaton Intelligent Power Manager
Amir Preminger
·
Publicado
2021-04-13
·
Atualizado
2021-04-21
·
CVE-2021-23279
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Eaton Intelligent Power Manager (IPM) anteriores à 1.69
Descrição
O problema decorre de uma validação inadequada de entradas na classe
meta driver srv.js, especificamente na ação saveDriverData ao utilizar um driverID inválido. Isso permite que um invasor envie pacotes especialmente criados para excluir arquivos no sistema onde o software IPM está instalado.Recomendações
Para versões anteriores à 1.69, atualize para a versão 1.69 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à classe
meta driver srv.js para minimizar o risco de exploração. Evite usar a variável driverID na ação saveDriverData afetada até que o problema seja resolvido.Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eaton Intelligent Power Manager