PT-2022-13835 · Softing · Softing Secure Integration Server
Chris Anastasio
+1
·
Publicado
2022-08-17
·
Atualizado
2023-06-27
·
CVE-2022-1373
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Softing Secure Integration Server versão 1.22
Descrição
O problema decorre de uma vulnerabilidade de traversal de diretório no recurso “restaurar configuração” durante o processamento de arquivos zip. Isso permite que um invasor crie um arquivo zip capaz de carregar uma DLL arbitrária, levando à execução de código. Ao enviar um arquivo zip contendo um arquivo de traversal de caminho por meio do recurso “restaurar configuração”, um invasor pode fazer com que um arquivo seja criado e executado quando gravado no disco.
Recomendações
Para o Softing Secure Integration Server versão 1.22, considere desativar o recurso “restaurar configuração” até que uma correção esteja disponível para impedir a exploração da vulnerabilidade de traversal de diretório. Restrinja o acesso à funcionalidade de upload de arquivos zip para minimizar o risco de execução de código arbitrário. Evite usar o recurso “restaurar configuração” para enviar arquivos zip que possam conter arquivos de traversal de caminho até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
Path traversal
Relative Path Traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Softing Secure Integration Server