CRITICAL🇬🇧 English

CVE-2024-27768

Path Traversal w Unitronics Unilogic umożliwiający RCE

CVSS 9.8v3.1pub. 2024-03-18upd. 2025-03-10

Podatność klasy path traversal w oprogramowaniu Unitronics Unistream Unilogic (wersje przed 1.35.227) umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko dla systemów przemysłowych korzystających z tego oprogramowania.

Pokaż oryginał (EN)

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-22: 'Path Traversal' may allow RCE

🤖 Analiza AI
Jak działa

Błąd CWE-22 (path traversal) polega na niewystarczającej walidacji ścieżek plików przekazywanych przez sieć, co pozwala atakującemu na wyjście poza dozwolony katalog aplikacji. Poprzez odpowiednio spreparowane żądanie zawierające sekwencje takie jak '../', napastnik może uzyskać dostęp do dowolnych plików w systemie lub umieścić złośliwy plik w krytycznej lokalizacji. W rezultacie możliwe jest zdalne wykonanie kodu na urządzeniu docelowym.

Skutki

Atakujący może bez uwierzytelnienia przejąć pełną kontrolę nad urządzeniem, uzyskując dostęp do poufnych danych, modyfikując konfigurację systemu oraz wykonując dowolny kod (RCE), co w środowisku przemysłowym może prowadzić do zakłócenia lub sabotażu procesów kontrolnych.

Mitygacja

Należy zaktualizować oprogramowanie Unitronics Unistream Unilogic do wersji 1.35.227 lub nowszej. Szczegółowe informacje dostępne są w referencjach producenta oraz w poradniku opublikowanym przez Claroty Team82.

Kogo dotyczy

Unitronics Unistream Unilogic w wersjach wcześniejszych niż 1.35.227

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Unitronics Unilogic

    APP
    Unitronics
    < 1.35.227
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2024-27767CRITICAL10.0PL ✓ten sam produkt

Pominięcie uwierzytelnienia w Unitronics Unilogic (Authentication Bypass)

CVE-2024-27769HIGH8.8ten sam produkt

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-200: Exposure of Sensitive Information to ...

CVE-2024-27770HIGH8.8ten sam produkt

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-23: Relative Path Traversal

CVE-2024-27771HIGH8.8ten sam produkt

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-22: 'Path Traversal' may allow RCE

CVE-2024-27772HIGH8.8ten sam produkt

Unitronics Unistream Unilogic – Versions prior to 1.35.227 - CWE-78: 'OS Command Injection' may allow RCE