PT-2022-3813 · Fujitsu · Fujitsu Eternus Centricstor Cs8000
Publicado
2022-04-06
·
Atualizado
2022-06-27
·
CVE-2022-31794
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Fujitsu ETERNUS CentricStor CS8000 (Control Center) versões anteriores à 8.1A SP02 P04
Descrição
A vulnerabilidade reside na função
requestTempFile no arquivo hw view.php, permitindo que um invasor altere o parâmetro POST unitName e insira caracteres especiais, como ponto-e-vírgula, crases ou sequências de substituição de comando, para forçar o aplicativo a executar comandos arbitrários.Recomendações
Para versões anteriores à 8.1A SP02 P04, atualize para a versão 8.1A SP02 P04 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao arquivo
hw view.php e à função requestTempFile para minimizar o risco de exploração. Evite usar o parâmetro unitName na solicitação POST afetada até que o problema seja resolvido.Exploit
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Fujitsu Eternus Centricstor Cs8000