Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Limitación incorrecta de ruta a un directorio restringido en RAD Data SecFlow-2

Fecha de publicación 19/06/2024
Identificador
INCIBE-2024-0317
Importancia
4 - Alta
Recursos Afectados
  • Todas las versiones de SecFlow-2.
Descripción

CISA ha publicado un aviso de seguridad tras encontrar una vulnerabilidad que afecta a SecFlow-2 de RAD Data Communications, que de ser explotada podría permitir a un atacante remoto realizar un path traversal, comprometiendo el sistema.

Solución

No existe solución ya que SecFlow-2 se encuentra al final de su vida de soporte (EoL), por lo que el fabricante recomienda cambiar actualizar al producto SecFlow-1p.

Detalle
  • CVE-2019-6268: los dispositivos RAD SecFlow-2 con hardware 0202, firmware 4.1.01.63, y U-Boot 2010.12, permiten URI, que comienzan con /.., desplazarse entre directorios, como se demuestra leyendo /etc/shadow.