Hainbat ahultasun Delta Industrial Automation-en produktuetan

Kaltetutako baliabideak:

CNCSoft ScreenEditor,
DIAEnergie.

Azalpena:

ZDIk hainbat ahultasun argitaratu ditu Delta Industrial Automation-en produktuetan, hiru larritasun altukoak eta bat baxukoa. Horiek baliatuz erasotzaile batek kodea exekuta lezake urrunetik edo informazio sentikorra hedatu.

Konponbidea:

Ahultasunen izaera kontuan izanik, une honetan arintze neurri bakarra aplikazioarekiko interakzioa murriztea da.

Xehetasuna:

HandlerPage_KID endpoint-ean erabiltzaileak emandako datuen baliozkotze desegokia baliatuz, erasotzaile autentifikatu batek kodea exekuta lezake urrunetik web zerbitzariaren testuinguruan fitxategi arbitrarioak kargatuz.
AM_Handler endpoint-ean erabiltzaileak emandako kateak SQL kontsultak eraikitzeko baliatuak izan aurretik modu desegokiak baliozkotzen direnez, erabiltzaile autentifikatu batek balia litzake gordetako kredentzialetara sarbidea lortzeko.
Erabiltzaileak emandako datuen luzeraren baliozkotze desegokiak, pilan oinarritutako luzera finkoko buffer batera kopiatuak izan aurretik, erasotzaile bati ahalbidetuko lioke urruneko kodea exekutatzea administratzailearen testuinguruan. Erabiltzailearen interakzioa behar da ahultasun hau baliatzeko, hark asmo gaiztoko orrialde bat bisitatu beharra baitu edo asmo gaiztoko fitxategi bat ireki.
DPB fitxategien analisian erabiltzaileak emandako datuen baliozkotze desegokia baliatuz, erasotzaile batek kodea exekuta lezake urrunetik administratzailearen testuinguruan. Erabiltzailearen interakzioa behar da ahultasun hau baliatzeko, hark asmo gaiztoko orrialde bat bisitatu beharra baitu edo asmo gaiztoko fitxategi bat ireki.

Gertakarien berri ematea