PT-2021-23473 · Siemens · Simatic Easie Pcs 7 Skill Package
Publicado
2021-12-14
·
Atualizado
2021-12-17
·
CVE-2021-42022
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do SIMATIC eaSie PCS 7 Skill Package anteriores à V21.00 SP3
Descrição
Foi identificada uma vulnerabilidade em que os sistemas afetados não neutralizam adequadamente elementos especiais no nome do caminho ao baixar arquivos. Isso poderia permitir que um invasor fizesse com que o nome do caminho fosse resolvido para um local fora do diretório restrito no servidor e lesse arquivos críticos inesperados. A função de download de arquivos afetada está desativada por padrão.
Recomendações
Para versões anteriores à V21.00 SP3, atualize para a versão V21.00 SP3 ou posterior para resolver o problema. Como solução temporária, considere manter a função de download de arquivos afetada desativada até que um patch seja aplicado.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Simatic Easie Pcs 7 Skill Package