PT-2022-19784 · Delta Industrial Automation · Dialink
4Er
·
Publicado
2022-12-01
·
Atualizado
2023-05-17
·
CVE-2022-2969
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Delta Industrial Automation DIALink anteriores à v1.5.0.0 Beta 4
Descrição
O problema decorre da falha do software em neutralizar adequadamente elementos especiais dentro de um nome de caminho construído a partir de entrada externa. Esse nome de caminho tem como objetivo identificar um arquivo ou diretório localizado abaixo de um diretório pai restrito. No entanto, devido à falta de neutralização adequada, o nome de caminho pode ser resolvido para um local fora do diretório restrito, levando potencialmente a acesso não autorizado ou à criação de arquivos.
Recomendações
Para versões anteriores à v1.5.0.0 Beta 4, atualize para a versão v1.5.0.0 Beta 4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir a entrada externa para impedir a construção de nomes de caminho maliciosos até que um patch seja aplicado.
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Dialink