PT-2022-22981 · Inductive Automation · Inductive Automation Ignition
S_N_T
·
Publicado
2022-07-15
·
Atualizado
2022-08-03
·
CVE-2022-35870
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Inductive Automation Ignition versão 8.1.15 (b2022030114)
Descrição
Esta vulnerabilidade permite que invasores remotos executem código arbitrário em instalações afetadas. Embora seja necessária autenticação para explorar esta vulnerabilidade, o mecanismo de autenticação existente pode ser contornado. A falha específica existe no com.inductiveautomation.metro.impl, resultante da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar na desserialização de dados não confiáveis. Um invasor pode aproveitar esta vulnerabilidade para executar código no contexto do SYSTEM.
Recomendações
Para a versão 8.1.15 (b2022030114), considere desativar a deserialização de dados não confiáveis dentro de com.inductiveautomation.metro.impl como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo afetado para minimizar o risco de exploração. Evite usar dados fornecidos pelo usuário na implementação afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Inductive Automation Ignition