Vulnerabilidad en vectores no especificados en CAMS para HIS CENTUM CS 3000, CENTUM VP, B/M9000CS y B/M9000 VP (CVE-2020-5609)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
05/08/2020
Última modificación:
12/08/2020
Descripción
Una vulnerabilidad salto de directorio en CAMS para HIS CENTUM CS 3000 (incluye CENTUM CS 3000 Small) versiones R3.08.10 hasta R3.09.50, CENTUM VP (incluye CENTUM VP Small, Basic) versiones R4.01.00 hasta R6.07.00, B/M9000CS versiones R5.04.01 hasta R5.05.01 y B/M9000 VP versiones R6.01.01 hasta R8.03.01, permiten a un atacante remoto no autenticado crear o sobrescribir archivos arbitrarios y ejecutar comandos arbitrarios por medio de vectores no especificados
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:yokogawa:centum_cs_3000_firmware:*:*:*:*:*:*:*:* | r3.08.10 (incluyendo) | r3.09.50 (incluyendo) |
| cpe:2.3:h:yokogawa:centum_cs_3000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:yokogawa:centum_vp_firmware:*:*:*:*:*:*:*:* | r4.01.00 (incluyendo) | r4.03.00 (incluyendo) |
| cpe:2.3:o:yokogawa:centum_vp_firmware:*:*:*:*:*:*:*:* | r5.01.00 (incluyendo) | r5.04.20 (incluyendo) |
| cpe:2.3:o:yokogawa:centum_vp_firmware:*:*:*:*:*:*:*:* | r6.01.00 (incluyendo) | r6.07.00 (incluyendo) |
| cpe:2.3:h:yokogawa:centum_vp:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:yokogawa:b\/m9000cs_firmware:*:*:*:*:*:*:*:* | r5.04.01 (incluyendo) | r5.05.01 (incluyendo) |
| cpe:2.3:h:yokogawa:b\/m9000cs:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:yokogawa:b\/m9000vp_firmware:*:*:*:*:*:*:*:* | r6.01.01 (incluyendo) | r8.03.01 (incluyendo) |
| cpe:2.3:h:yokogawa:b\/m9000vp:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página