Vulnerabilidad en los archivos server maps_srv.js server/node_upgrade_srv.js y las acciones removeBackground y reremoveFirmware de Eaton Intelligent Power Manager (IPM) (CVE-2021-23278)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/04/2021
Última modificación:
21/04/2021
Descripción
Eaton Intelligent Power Manager (IPM) versiones anteriores a 1.69, es susceptible a una vulnerabilidad de eliminación de archivos arbitrarios autenticados inducida debido a una comprobación inapropiada de entrada en el archivo server/maps_srv.js con la acción removeBackground y en el archivo server/node_upgrade_srv.js con la acción removeFirmware. Un atacante puede enviar paquetes especialmente diseñados para eliminar los archivos del sistema donde está instalado el software IPM
Impacto
Puntuación base 3.x
9.60
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
5.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eaton:intelligent_power_manager:*:*:*:*:*:*:*:* | 1.69 (excluyendo) | |
| cpe:2.3:a:eaton:intelligent_power_manager_virtual_appliance:*:*:*:*:*:*:*:* | 1.69 (excluyendo) | |
| cpe:2.3:a:eaton:intelligent_power_protector:*:*:*:*:*:*:*:* | 1.68 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página