PT-2022-17648 · Open Automation · Open Automation Software Oas Platform
Jared Rittle
·
Publicado
2022-05-25
·
Atualizado
2023-07-26
·
CVE-2022-26067
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Open Automation Software OAS Platform versão 16.00.0112
Descrição
Existe uma falha de divulgação de informações na funcionalidade SecureTransferFiles do OAS Engine. Uma série de solicitações de rede especialmente criadas pode levar à leitura arbitrária de arquivos. Um invasor pode enviar uma sequência de solicitações para desencadear essa falha.
Recomendações
Para a versão 16.00.0112, considere restringir o acesso à funcionalidade SecureTransferFiles até que uma correção esteja disponível. Como solução alternativa temporária, limite a capacidade de enviar sequências de solicitações à funcionalidade afetada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Correção
Missing Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Open Automation Software Oas Platform