Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en SINEC NMS (CVE-2021-33725)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
12/10/2021
Última modificación:
18/10/2021

Descripción

Se ha identificado una vulnerabilidad en SINEC NMS (Todas las versiones anteriores a V1.0 SP2 Update 1). El sistema afectado permite eliminar archivos o directorios arbitrarios bajo una ruta controlada por el usuario y no comprueba correctamente si la ruta relativa sigue estando dentro del directorio de destino previsto

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:siemens:sinec_nms:*:*:*:*:*:*:*:* 1.0 (excluyendo)
cpe:2.3:a:siemens:sinec_nms:1.0:-:*:*:*:*:*:*
cpe:2.3:a:siemens:sinec_nms:1.0:sp1:*:*:*:*:*:*
cpe:2.3:a:siemens:sinec_nms:1.0:sp2:*:*:*:*:*:*


Referencias a soluciones, herramientas e información