Fultek WinTr könyvtárbejárásos sérülékenység

CH azonosító

CH-7591

Angol cím

Fultek WinTr Directory Traversal Vulnerability

Felfedezés dátuma

2012.09.18.

Súlyosság

Közepes

Érintett rendszerek

Fultek
WinTr

Érintett verziók

WinTr Scada 4.0.5 és korábbi verziók

Összefoglaló

A Fultek WinTr Scada alkalmazásának egy sérülékenységét jelentették, amelyet kihasználva a támadók információkat szivárogtathatnak ki.

Leírás

A sérülékenység oka, hogy a WinTr Web nem ellenőrzi megfelelően a felhasználó által megadott bemeneti adatot. Ez kihasználható a Web szervernek küldött speciálisan erre a célra készített csomagokon keresztül, amelynek eredményeképp a támadó tetszőleges fájlokat szerezhet meg.

Megjegyzés: a sérülékenység távolról is kihasználható.

Megoldás

A gyártó nem adott ki javítást, így a legjobb kockázat csökkentési módszer a felhasználó által bevitt bemeneti adatok ellenőrzése, valamint amennyiben az alkalmazás egy harmadik féltől származó alkalmazással van vezérelve és a kódot nem lehet módosítani, úgy ajánlott tűzfal használata, amely használható a bemeneti adat ellenőrzésére.

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

Legfrissebb sérülékenységek
CVE-2023-42917 – Apple iOS sérülékenysége
CVE-2023-42916 – Apple iOS sérülékenysége
CVE-2023-37928 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4474 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-4473 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-37927 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-35137 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-35138 – Zyxel NAS326 firmware sérülékenysége
CVE-2023-49693 – NETGEAR ProSAFE Network Management System sérülékenysége
CVE-2023-5822 – CodeDropz Drag and Drop Multiple File Upload - Contact Form for WordPress sérülékenysége
Tovább a sérülékenységekhez »