Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el archivo Maps_srv.js de IPM en la carga de un archivo NodeJS en la acción uploadBackgroud en Eaton Intelligent Power Manager (IPM) (CVE-2021-23280)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-434 Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
13/04/2021
Última modificación:
21/04/2021

Descripción

Eaton Intelligent Power Manager (IPM) versiones anteriores a 1.69, es susceptible a una vulnerabilidad de carga de archivos arbitraria autenticada. El archivo Maps_srv.js de IPM permite a un atacante cargar un archivo NodeJS malicioso usando la acción uploadBackgroud. Un atacante puede cargar un código malicioso o ejecutar cualquier comando utilizando un paquete especialmente diseñado para explotar la vulnerabilidad

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:eaton:intelligent_power_manager:*:*:*:*:*:*:*:* 1.69 (excluyendo)
cpe:2.3:a:eaton:intelligent_power_manager_virtual_appliance:*:*:*:*:*:*:*:* 1.69 (excluyendo)
cpe:2.3:a:eaton:intelligent_power_protector:*:*:*:*:*:*:*:* 1.68 (excluyendo)