Vulnerabilidad en B. Braun Melsungen AG SpaceCom, el módulo de Datos compactplus (CVE-2020-25150)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
14/04/2022
Última modificación:
21/10/2022
Descripción
Un ataque de salto de ruta relativa en B. Braun Melsungen AG SpaceCom Versiones L81/U61 y anteriores, y el módulo de Datos compactplus Versiones A10 y A11, permite a atacantes con privilegios de usuario de servicio cargar archivos arbitrarios. Al cargar un archivo tar especialmente diseñado, un atacante puede ejecutar comandos arbitrarios
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:bbraun:datamodule_compactplus:a10:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bbraun:datamodule_compactplus:a11:*:*:*:*:*:*:* | ||
| cpe:2.3:h:bbraun:datamodule_compactplus:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bbraun:spacecom:*:*:*:*:*:*:*:* | l81 (incluyendo) | |
| cpe:2.3:h:bbraun:spacecom:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página