Limitación incorrecta de ruta a un directorio restringido en RAD Data SecFlow-2

Fecha de publicación 19/06/2024

Importancia

4 - Alta

Recursos Afectados

Todas las versiones de SecFlow-2.

Descripción

CISA ha publicado un aviso de seguridad tras encontrar una vulnerabilidad que afecta a SecFlow-2 de RAD Data Communications, que de ser explotada podría permitir a un atacante remoto realizar un path traversal, comprometiendo el sistema.

Solución

No existe solución ya que SecFlow-2 se encuentra al final de su vida de soporte (EoL), por lo que el fabricante recomienda cambiar actualizar al producto SecFlow-1p.

Detalle

CVE-2019-6268: los dispositivos RAD SecFlow-2 con hardware 0202, firmware 4.1.01.63, y U-Boot 2010.12, permiten URI, que comienzan con /.., desplazarse entre directorios, como se demuestra leyendo /etc/shadow.

Listado de referencias

ICSA-24-170-01 - RAD Data Communications SecFlow-2

Etiquetas

0day
Acceso no autorizado
Comunicaciones
Infraestructura crítica
Sistemas de control industrial
Vulnerabilidad