PT-2022-3812 · Fujitsu · Fujitsu Eternus Centricstor Cs8000
Publicado
2022-04-06
·
Atualizado
2022-06-27
·
CVE-2022-31795
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Fujitsu ETERNUS CentricStor CS8000 anteriores à 8.1A SP02 P04
Descrição
O problema está relacionado à possibilidade de injeção de comandos no dispositivo Fujitsu ETERNUS CentricStor CS8000. Um invasor pode manipular os parâmetros
username (user), password (pw) e file-name (file) e injetar caracteres especiais para forçar o aplicativo a executar comandos arbitrários. Isso pode ser feito injetando ponto-e-vírgula, crases ou sequências de substituição de comando. A vulnerabilidade reside na função grel finfo no arquivo grel.php.Recomendações
Para versões anteriores à 8.1A SP02 P04, atualize para a versão 8.1A SP02 P04 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao arquivo
grel.php e à função grel finfo para minimizar o risco de exploração.Evite usar os parâmetros
user, pw e file no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fujitsu Eternus Centricstor Cs8000