Vulnerabilidad en la funcionalidad Cloud Connectivity en WAGO PFC200 (CVE-2019-5160)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
11/03/2020
Última modificación:
21/07/2021
Descripción
Existe una vulnerabilidad de comprobación de host inapropiada explotable en la funcionalidad Cloud Connectivity de WAGO PFC200 en las versiones de Firmware 03.02.02(14), 03.01.07(13) y 03.00.39(12). Una petición POST HTTPS especialmente diseñada puede causar que el software se conecte a un host no autorizado, resultando en un acceso no autorizado a la funcionalidad de actualización de firmware. Un atacante puede enviar una petición POST HTTPS autenticada para dirigir el software Cloud Connectivity para que se conecte a un nodo de Azure IoT Hub controlado por el atacante.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:wago:pfc200_firmware:03.00.39\(12\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:wago:pfc200_firmware:03.01.07\(13\):*:*:*:*:*:*:* | ||
| cpe:2.3:o:wago:pfc200_firmware:03.02.02\(14\):*:*:*:*:*:*:* | ||
| cpe:2.3:h:wago:pfc200:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página