PT-2022-9222 · Sealevel Systems · Seaconnect 370W
Francesco Benvenuto
+1
·
Publicado
2022-02-04
·
Atualizado
2023-06-30
·
CVE-2021-21968
CVSS v3.1
8.3
Alta
| Vetor | AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Sealevel Systems, Inc. SeaConnect 370W versão 1.3.34
Descrição
Existe uma falha na gravação de arquivos na funcionalidade da tarefa de atualização OTA. Isso pode ser desencadeado por uma carga MQTT especialmente criada, permitindo a sobrescrita arbitrária de arquivos. Um invasor pode explorar essa vulnerabilidade realizando um ataque man-in-the-middle.
Recomendações
Para a versão 1.3.34, considere restringir o acesso à funcionalidade da tarefa de atualização OTA até que uma correção esteja disponível. Como solução alternativa temporária, evite usar o protocolo MQTT para atualizações ou certifique-se de que todas as comunicações MQTT sejam criptografadas e autenticadas para impedir ataques man-in-the-middle.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Seaconnect 370W