Vulnerabilidad en FastCGI en la aplicación web WBM en WAGO PFC100 y PFC2000 (CVE-2019-5149)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
11/03/2020
Última modificación:
13/03/2020
Descripción
La aplicación web WBM en WAGO PFC100 y PFC2000, versiones de firmware anteriores a las versiones 03.02.02 y 03.01.07 respectivamente, se ejecuta en un servidor web lighttpd y hace uso del módulo FastCGI, que está destinado a proporcionar un alto rendimiento para todas las aplicaciones de Internet sin las penalizaciones de las API del servidor web. Sin embargo, la configuración predeterminada de este módulo parece limitar el número de procesos concurrentes de php-cgi a dos, lo cual puede ser violado para causar una denegación de servicio de todo el servidor web. Esto afecta a WAGO PFC200 versión de firmware 03.00.39(12) y versión 03.01.07(13), y WAGO PFC100 versión de firmware 03.00.39(12) y versión 03.02.02(14).
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:wago:pfc200_firmware:03.00.39\(12\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:wago:pfc200_firmware:03.01.07\(13\):*:*:*:*:*:*:* | ||
| cpe:2.3:h:wago:pfc200:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:wago:pfc100_firmware:03.00.39\(12\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:wago:pfc100_firmware:03.01.07\(13\):*:*:*:*:*:*:* | ||
| cpe:2.3:h:wago:pfc100:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página