Limitación incorrecta de ruta a un directorio restringido en RAD Data SecFlow-2
Fecha de publicación 19/06/2024
Identificador
INCIBE-2024-0317
Importancia
4 - Alta
Recursos Afectados
- Todas las versiones de SecFlow-2.
Descripción
CISA ha publicado un aviso de seguridad tras encontrar una vulnerabilidad que afecta a SecFlow-2 de RAD Data Communications, que de ser explotada podría permitir a un atacante remoto realizar un path traversal, comprometiendo el sistema.
Solución
No existe solución ya que SecFlow-2 se encuentra al final de su vida de soporte (EoL), por lo que el fabricante recomienda cambiar actualizar al producto SecFlow-1p.
Detalle
- CVE-2019-6268: los dispositivos RAD SecFlow-2 con hardware 0202, firmware 4.1.01.63, y U-Boot 2010.12, permiten URI, que comienzan con /.., desplazarse entre directorios, como se demuestra leyendo /etc/shadow.
Listado de referencias