PT-2022-10369 · Xinje · Xinje Xd/E Series Plc Program Tool
Mashav Sapir
·
Publicado
2022-05-11
·
Atualizado
2022-05-19
·
CVE-2021-34605
CVSS v3.1
7.3
Alta
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Ferramenta de programação para PLCs da série XINJE XD/E, versões até v3.5.1
Descrição
Uma vulnerabilidade do tipo “zip slip” pode conceder a um invasor privilégios de gravação de arquivos arbitrários ao abrir um arquivo de projeto especialmente criado. Esse problema pode ser desencadeado pela abertura manual de um arquivo de projeto infectado ou pela iniciação de uma solicitação de upload de programa a partir de um PLC Xinje infectado, resultando potencialmente em execução remota de código, divulgação de informações e negação de serviço do sistema que executa a Ferramenta de Programação PLC da Série XINJE XD/E.
Recomendações
Para as versões da Ferramenta de Programação de PLC da Série XINJE XD/E até a v3.5.1, atualize para uma versão posterior à v3.5.1 para resolver o problema. Como solução alternativa temporária, considere evitar o uso de arquivos de projeto potencialmente infectados e restringir solicitações de upload de programas provenientes de dispositivos PLC Xinje não confiáveis.
Exploit
Correção
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Xinje Xd/E Series Plc Program Tool