Podatność typu path traversal w oprogramowaniu FUXA (webowy system wizualizacji procesów SCADA/HMI/Dashboard) pozwala nieuwierzytelnionemu atakującemu zdalnie zapisywać dowolne pliki w dowolnych lokalizacjach systemu plików serwera. Zagrożenie jest krytyczne ze względu na brak wymogu uwierzytelnienia oraz potencjalne skutki dla infrastruktury przemysłowej.
▸ Pokaż oryginał (EN)
FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. A path traversal vulnerability in FUXA allows an unauthenticated, remote attacker to write arbitrary files to arbitrary locations on the server filesystem. This affects FUXA through version 1.2.9. This issue has been patched in FUXA version 1.2.10.
Podatność (CWE-22) wynika z nieprawidłowej walidacji ścieżek plików przesyłanych do aplikacji, co umożliwia atakującemu wyjście poza dozwolony katalog poprzez sekwencje traversal (np. '../'). Dodatkowo brak wymaganego uwierzytelnienia (CWE-306) oznacza, że exploit może zostać przeprowadzony bez posiadania jakichkolwiek poświadczeń. Atakujący może w ten sposób zapisać złośliwe pliki w dowolnym miejscu systemu plików serwera, na którym działa FUXA.
Atakujący może zapisać dowolne pliki w krytycznych lokalizacjach systemu operacyjnego serwera, co w praktyce może prowadzić do wykonania zdalnego kodu (RCE), przejęcia kontroli nad serwerem lub zakłócenia działania systemów przemysłowych SCADA/HMI. Wpływ obejmuje zarówno poufność, integralność, jak i dostępność systemu oraz systemów zależnych.
Należy niezwłocznie zaktualizować oprogramowanie FUXA do wersji 1.2.10, w której podatność została naprawiona. Patch dostępny jest w oficjalnym repozytorium GitHub projektu oraz w wydaniu v1.2.10.
FUXA (Frangoteam) we wszystkich wersjach do 1.2.9 włącznie.
Podatność dotyczy oprogramowania klasy SCADA/HMI stosowanego w środowiskach przemysłowych, co podnosi potencjalne ryzyko operacyjne. Poprawka została wprowadzona w commicie 22c2192f5d9beef8a787c45eff3a14c24dbb5f96 i opisana w security advisory GHSA-88qh-cphv-996c.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XFrangoteam Fuxa
APPFrangoteam< 1.2.10
Powiązane podatności
FUXA – pominięcie uwierzytelnienia przez nagłówek Referer prowadzące do RCE
FUXA SCADA/HMI: Auth Bypass + RCE przez API heartbeat
FUXA SCADA/HMI – pominięcie uwierzytelnienia umożliwiające RCE przez plugin Node-RED
FUXA SCADA: domyślny sekret JWT umożliwia nieautoryzowany dostęp i RCE
FUXA SCADA: authorization bypass umożliwia modyfikację schedulerów bez uwierzytelnienia