PT-2024-9479 · Advantech · Advantech Eki-6333Ac-1Gpo+1
Diego Zaffaroni
·
Publicado
2024-11-26
·
Atualizado
2024-11-26
·
CVE-2024-50363
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas:
Advantech EKI-6333AC-2G, versões 1.6.3 e anteriores
Advantech EKI-6333AC-2GD, versões 1.6.3 e anteriores
Advantech EKI-6333AC-1GPO, versões 1.2.1 e anteriores
Descrição:
A vulnerabilidade existe devido à falta de neutralização de elementos especiais utilizados em um comando do sistema operacional. Isso pode ser explorado por um invasor remoto para comprometer a confidencialidade, integridade e disponibilidade de informações protegidas. A vulnerabilidade está relacionada à API “mp apply”, na qual vários parâmetros não são devidamente sanitizados antes de serem concatenados a comandos no nível do sistema operacional.
Recomendações:
Para as versões 1.6.3 e anteriores do Advantech EKI-6333AC-2G, atualize para uma versão posterior à 1.6.3.
Para as versões 1.6.3 e anteriores do Advantech EKI-6333AC-2GD, atualize para uma versão posterior à 1.6.3.
Para as versões 1.2.1 e anteriores do Advantech EKI-6333AC-1GPO, atualize para uma versão posterior à 1.2.1.
Como solução alternativa temporária, considere restringir o acesso à API “mp apply” para minimizar o risco de exploração.
Correção
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Advantech Eki-6333Ac-1Gpo
Advantech Eki-6333Ac-2G