PT-2021-20563 · Phoenix Contact · Phoenix Contact Fl Mguard 1102+1
Publicado
2021-11-10
·
Atualizado
2022-07-28
·
CVE-2021-34582
CVSS v3.1
4.8
Média
| Vetor | AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N |
**Nome do software vulnerável e versões afetadas:
Phoenix Contact FL MGUARD 1102, versões 1.4.0 a 1.5.0
Phoenix Contact FL MGUARD 1105, versões 1.4.0 a 1.5.0
Descrição:
Um usuário com privilégios elevados pode injetar código HTML por meio do gerenciamento baseado na web ou da API REST usando um arquivo de certificado manipulado, resultando em uma vulnerabilidade de cross-site scripting (XSS). Isso permite a injeção e execução de código.
Recomendações:
Para o Phoenix Contact FL MGUARD 1102, versões 1.4.0 a 1.5.0, considere desativar o gerenciamento baseado na web e o acesso à API REST até que uma correção esteja disponível.
Para o Phoenix Contact FL MGUARD 1105, versões 1.4.0 a 1.5.0, considere desativar o gerenciamento baseado na web e o acesso à API REST até que uma correção esteja disponível.
Como solução alternativa temporária, restrinja o acesso à API REST para minimizar o risco de exploração.
Correção
XSS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Phoenix Contact Fl Mguard 1102
Phoenix Contact Fl Mguard 1105