PT-2021-7433 · Eaton · Eaton Intelligent Power Manager
Amir Preminger
·
Publicado
2021-04-12
·
Atualizado
2021-04-20
·
CVE-2021-23281
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Eaton Intelligent Power Manager (IPM) anteriores à 1.69
Descrição
O problema está relacionado a um gerenciamento incorreto da geração de código na função
coverterCheckList da classe meta driver srv.js. Isso pode ser explorado por um invasor remoto para executar código arbitrário, conectando-se a um servidor SNMP falso e enviando pacotes maliciosos especialmente criados. O software IPM não consegue sanitizar os dados fornecidos por meio da ação coverterCheckList, permitindo que invasores enviem um pacote especialmente criado para fazer com que o IPM se conecte a um servidor SNMP malicioso e execute código controlado pelo invasor.Recomendações
Para versões anteriores à 1.69, atualize para a versão 1.69 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à função
coverterCheckList na classe meta driver srv.js até que um patch esteja disponível.Evite usar a ação
coverterCheckList no endpoint da API afetado até que o problema seja resolvido.Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eaton Intelligent Power Manager