Vulnerabilidad en Campbell Scientific CSI (CVE-2024-5433)

Gravedad:

Pendiente de análisis

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

28/05/2024

Última modificación:

29/05/2024

Descripción

El servidor web Campbell Scientific CSI admite un comando que devolverá el archivo más reciente que coincida con una expresión determinada. Una expresión especialmente manipulada puede provocar una vulnerabilidad de path traversal. Este comando combinado con una expresión especialmente manipulada permite el acceso anónimo y no autenticado (permitido de forma predeterminada) por parte de un atacante a archivos y directorios fuera del directorio raíz del servidor web al que deberían estar restringidos.

Impacto

Referencias a soluciones, herramientas e información

https://www.cisa.gov/news-events/ics-advisories/icsa-24-149-01