PT-2021-7290 · Rockwell Automation · Rockwell Automation Connected Components Workbench
Mashav Sapir
·
Publicado
2021-05-13
·
Atualizado
2022-03-29
·
CVE-2021-27471
CVSS v3.1
8.6
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Rockwell Automation Connected Components Workbench anteriores à 12.00.00
Descrição
O problema está relacionado ao mecanismo de análise de determinados tipos de arquivos, que não possui sanitização de entrada para caminhos de arquivos. Isso poderia permitir que um invasor criasse arquivos maliciosos capazes de percorrer o sistema de arquivos ao serem abertos, potencialmente sobrescrevendo arquivos existentes e criando novos com as mesmas permissões do software. A exploração requer interação do usuário.
Recomendações
Para versões anteriores à 12.00.00, considere restringir o acesso às operações do sistema de arquivos até que uma correção esteja disponível. Como solução alternativa temporária, evite abrir arquivos de fontes não confiáveis para minimizar o risco de exploração.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rockwell Automation Connected Components Workbench