PT-2024-9484 · Advantech · Eki-6333Ac-2G+1
Diego Zaffaroni
·
Publicado
2024-11-26
·
Atualizado
2024-11-26
·
CVE-2024-50365
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas:
Advantech EKI-6333AC-2G, versões 1.6.3 e anteriores
Advantech EKI-6333AC-2GD, versões 1.6.3 e anteriores
Advantech EKI-6333AC-1GPO, versões 1.2.1 e anteriores
Descrição:
Foi descoberta uma falha de segurança na API “lan apply” dos dispositivos da série EKI-6333AC da Advantech, na qual vários parâmetros não são devidamente sanitizados antes de serem utilizados em comandos no nível do sistema operacional. Isso poderia permitir que um invasor remoto comprometesse a confidencialidade, integridade e disponibilidade de informações protegidas.
Recomendações:
Para as versões 1.6.3 e anteriores do Advantech EKI-6333AC-2G, considere desativar a API “lan apply” até que uma correção esteja disponível.
Para as versões 1.6.3 e anteriores do Advantech EKI-6333AC-2GD, restrinja o acesso à API “lan apply” para minimizar o risco de exploração.
Para as versões 1.2.1 e anteriores do Advantech EKI-6333AC-1GPO, evite usar os parâmetros vulneráveis na API “lan apply” até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Eki-6333Ac-1Gpo
Eki-6333Ac-2G