Vulnerabilidad en Los servicios de exacqVision Server 'exacqVisionServer' (CVE-2019-7590)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-428
Ruta de búsqueda o elemento sin entrecomillar
Fecha de publicación:
19/07/2019
Última modificación:
10/02/2020
Descripción
Los servicios de exacqVision Server 'exacqVisionServer', 'dvrdhcpserver' y 'mdnsresponder' tienen una ruta de servicio sin comillas. Si un usuario autenticado puede insertar código en la ruta raíz de su sistema, puede ejecutarse potencialmente durante el inicio de la aplicación. Esto podría permitir al usuario autenticado elevar los privilegios en el sistema. Este problema afecta a: Exacq Technologies, Inc. exacqVision Server 9.6; 9.8 Este problema no afecta: Exacq Technologies, Inc. exacqVision Server versión 9.4 y versiones anteriores; 19.03. No se sabe si este problema afecta: Exacq Technologies, Inc. exacqVision Server versiones anteriores a 8.4
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
4.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:johnsoncontrols:exacqvision_server:9.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:johnsoncontrols:exacqvision_server:9.8:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/109307
- https://gallery.technet.microsoft.com/scriptcenter/Windows-Unquoted-Service-190f0341
- https://packetstormsecurity.com/files/152128/exacqVision-9.8-Unquoted-Service-Path-Privilege-Escalation.html
- https://www.johnsoncontrols.com/cyber-solutions/security-advisories
- https://www.us-cert.gov/ics/advisories/icsa-19-199-01
- https://www.zeroscience.mk/en/vulnerabilities/ZSL-2019-5515.php