Limitación incorrecta de nombre de ruta a un directorio restringido en Frauscher Diagnostic System FDS
INCIBE-2023-0252
Diagnostic System FDS101 para FAdC/FAdCi, versiones 1.3.3 y anteriores.
Frauscher Sensortechnik, en coordinación con el CERT@VDE, ha publicado una vulnerabilidad de severidad alta de tipo limitación incorrecta de nombre de ruta a un directorio restringido (path traversal), cuya explotación podría permitir a un atacante remoto leer todos los archivos del sistema de ficheros.
El fabricante no publicará actualizaciones de firmware para corregir esta vulnerabilidad.
Se recomienda aplicar las medidas del apartado 'Mitigation' descritas en el aviso del CERT@VDE.
El envío sin autenticación de una URL especialmente diseñada a través de la interfaz web del producto afectado podría permitir la lectura de todos los archivos del sistema de ficheros. Se ha asignado el identificador CVE-2023-2880 para esta vulnerabilidad.