Podatność klasy path traversal w oprogramowaniu Unitronics Unistream Unilogic (wersje przed 1.35.227) umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko dla systemów przemysłowych korzystających z tego oprogramowania.
▸ Pokaż oryginał (EN)
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-22: 'Path Traversal' may allow RCE
Błąd CWE-22 (path traversal) polega na niewystarczającej walidacji ścieżek plików przekazywanych przez sieć, co pozwala atakującemu na wyjście poza dozwolony katalog aplikacji. Poprzez odpowiednio spreparowane żądanie zawierające sekwencje takie jak '../', napastnik może uzyskać dostęp do dowolnych plików w systemie lub umieścić złośliwy plik w krytycznej lokalizacji. W rezultacie możliwe jest zdalne wykonanie kodu na urządzeniu docelowym.
Atakujący może bez uwierzytelnienia przejąć pełną kontrolę nad urządzeniem, uzyskując dostęp do poufnych danych, modyfikując konfigurację systemu oraz wykonując dowolny kod (RCE), co w środowisku przemysłowym może prowadzić do zakłócenia lub sabotażu procesów kontrolnych.
Należy zaktualizować oprogramowanie Unitronics Unistream Unilogic do wersji 1.35.227 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz w poradniku opublikowanym przez Claroty Team82.
Unitronics Unistream Unilogic w wersjach wcześniejszych niż 1.35.227
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HUnitronics Unilogic
APPUnitronics< 1.35.227
Powiązane podatności
Pominięcie uwierzytelnienia w Unitronics Unilogic (Authentication Bypass)
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-200: Exposure of Sensitive Information to ...
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-23: Relative Path Traversal
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-22: 'Path Traversal' may allow RCE
Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-78: 'OS Command Injection' may allow RCE