PT-2024-9475 · Advantech · Advantech Eki-6333Ac-1Gpo+1
Diego Zaffaroni
·
Publicado
2024-11-26
·
Atualizado
2024-11-26
·
CVE-2024-50371
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas:
Advantech EKI-6333AC-2G, versões 1.6.3 e anteriores
Advantech EKI-6333AC-2GD, versões 1.6.3 e anteriores
Advantech EKI-6333AC-1GPO, versões 1.2.1 e anteriores
Descrição:
Foi descoberta uma vulnerabilidade no serviço “edgserver” dos dispositivos EKI-6333AC da Advantech, permitindo que usuários remotos não autenticados executem comandos maliciosos com privilégios de root. O problema decorre da neutralização inadequada de elementos especiais usados em um comando do sistema operacional, permitindo que invasores executem comandos arbitrários. Não é necessária autenticação para explorar essa vulnerabilidade, pois o serviço “edgserver” está habilitado por padrão no ponto de acesso.
Recomendações:
Para as versões 1.6.3 e anteriores do Advantech EKI-6333AC-2G, considere desativar o serviço “edgserver” até que uma correção esteja disponível.
Para as versões 1.6.3 e anteriores do Advantech EKI-6333AC-2GD, considere desativar o serviço “edgserver” até que uma correção esteja disponível.
Para as versões 1.2.1 e anteriores do Advantech EKI-6333AC-1GPO, considere desativar o serviço “edgserver” até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech Eki-6333Ac-1Gpo
Advantech Eki-6333Ac-2G