Vulnerabilidad en la clase meta_driver_srv.js en la acción saveDriverData en Eaton Intelligent Power Manager (IPM) (CVE-2021-23279)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
13/04/2021
Última modificación:
21/04/2021
Descripción
Eaton Intelligent Power Manager (IPM) versiones anteriores a 1.69, es susceptible a una vulnerabilidad de eliminación de archivos arbitrarios no autenticados inducida debido a una comprobación inapropiada de entrada en la clase meta_driver_srv.js con la acción saveDriverData utilizando un driverID no válido. Un atacante puede enviar paquetes especialmente diseñados para eliminar los archivos del sistema donde está instalado el software IPM
Impacto
Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:eaton:intelligent_power_manager:*:*:*:*:*:*:*:* | 1.69 (excluyendo) | |
cpe:2.3:a:eaton:intelligent_power_manager_virtual_appliance:*:*:*:*:*:*:*:* | 1.69 (excluyendo) | |
cpe:2.3:a:eaton:intelligent_power_protector:*:*:*:*:*:*:*:* | 1.68 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página