PT-2022-2832 · Hid · Hid Mercury Intelligent Controllers
Publicado
2022-05-23
·
Atualizado
2022-06-17
·
CVE-2022-31486
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Controladores inteligentes HID Mercury LP1501, LP1502, LP2500, LP4502 e EP4502, versões anteriores à 1.303 para a série LP e à 1.297 para a série EP
Descrição
A vulnerabilidade existe devido à falta de medidas para neutralizar elementos especiais utilizados no comando do sistema operacional. Um invasor autenticado pode enviar uma rota especialmente criada para o binário “edit route.cgi” e fazer com que ele execute comandos de shell. Isso pode permitir que o invasor monitore todas as comunicações enviadas e recebidas pelo dispositivo, modifique relés integrados, altere arquivos de configuração ou cause instabilidade no dispositivo.
Recomendações
Para os controladores inteligentes HID Mercury LP1501, LP1502, LP2500, LP4502 e EP4502 com versões de firmware anteriores à 1.303 para a série LP e 1.297 para a série EP, atualize o firmware para uma versão que contenha a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao binário “edit route.cgi” até que um patch esteja disponível.
Evite usar o binário “edit route.cgi” para executar comandos de shell até que o problema seja resolvido.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Hid Mercury Intelligent Controllers