Certec webMI2AD sérülékenységek

CH azonosító

CH-6757

Angol cím

CERTEC WEBMI2ADS MULTIPLE VULNERABILITIES

Felfedezés dátuma

2012.04.10.

Súlyosság

Kritikus

Érintett rendszerek

Certec
webMI2ADS

Érintett verziók

Certec webMI2ADS 2.0.2 előtti verziók

Összefoglaló

A Certec webMI2AD több olyan sérülékenysége vált ismertté, amelyeket a támadók kihasználva szolgáltatás megtagadás támadást (DoS Denial of Service) okozhatnak.

Leírás

  1. A webMI webszervere nem ellenőrzi megfelelően a tiltott mappákból való fájlok olvashatóságát. Ezt kihasználva a támadó adatokat szivárogtathat ki speciálisan kialakított kérések küldésével a TCP 80-as portra.
  2. A webMI webszervere nem ellenőrzi megfelelően egy függvény visszatérési értékét. Ezt kihasználva a támadó szolgáltatás megtagadást (DoS Denial of Service) idézhet elő speciálisan kialakított kérések küldésével a TCP 80-as portra.
  3. A támadó leállíthatja az alkalmazást egy nem hitelesített parancsot beküldve a webes felületről a TCP 80-as porton keresztül. Ezt kihasználva szolgáltatás megtagadást (DoS Denial of Service) okozható.
  4. A webMI webszervere nem ellenőrzi megfelelően a HTTP kérésekben nem érvényes értékeket. A támadó ezt kihasználva szolgáltatás megtagadást (DoS Denial of Service) idézhet elő speciálisan kialakított kérések küldésével a TCP 80-as portra.

Megoldás

Frissítsen a 2.0.2-es verzióra (http://www.atvise.com/en/atvise-downloads/products)

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »