Lectura arbitraria de archivos en Access Controller de Cassia Networks

Fecha de publicación 30/04/2021
Importancia
3 - Media
Recursos Afectados

Access Controller, todas las versiones anteriores a 2.0.1.

Descripción

Amir Preminger y Sharon Brizinov, investigadores de Claroty, han reportado al CISA una vulnerabilidad, de severidad media, de limitación inadecuada a directorio restringido que afecta al producto Access Controller de Cassia Networks.

Solución

Cassia Networks ha publicado un parche (es necesario iniciar sesión) que corrige la vulnerabilidad reportada.

Detalle

Un atacante podría utilizar la ruta minify con una ruta relativa para ver cualquier archivo en el servidor de Access Controller. Se ha asignado el identificador CVE-2021-22685 para esta vulnerabilidad.

Encuesta valoración