Vulnerabilidad de inyección de comandos en NPort W2x50A de Moxa

Fecha de publicación 30/11/2018

Importancia

4 - Alta

Recursos Afectados

Moxa NPort W2x50A versiones de firmware 2.1 Build_17112017 y anteriores.
[Actualización 14/12/2018] Moxa NPort W2150A/NPort W2250A Series versiones de firmware 2.1 y anteriores.

Descripción

Se ha descubierto una vulnerabilidad de inyección de comandos en Moxa NPort V2x50A, un atacante podría inyectar comandos de sistema y conseguir ejecución de código.

Solución

Actualizar NPort W2x50A a la versión 2.2 Build_18082311 o posterior.
[Actualización 14/12/2018] Actualizar NPort W2150A/NPort W2250A Series a la última versión.

Detalle

Un atacante autenticado en el servidor web podría inyectar comandos de sistema en las peticiones ping o wlan profile y enviar un paquete POST especialmente diseñado a /goform/net_WebPingGetValue o a /goform/net_WebSettingProfileSecurity, y conseguir la ejecución de código. Se han reservado los identificadores CVE-2018-19659 y CVE-2018-19660 para esta vulnerabilidad.

Listado de referencias

Multiple OS Command Injection in Moxa NPort W2x50A products

[Actualización 14/12/2018] NPort W2150A/NPort W2250A Serial Device Servers Vulnerabilities

Etiquetas