Vulnerabilidad en el sistema de archivos en las líneas de productos ROC y FloBoss RTU de Emerson (CVE-2022-30264)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
16/08/2022
Última modificación:
17/08/2022
Descripción
Las líneas de productos ROC y FloBoss RTU de Emerson versiones hasta 02-05-2022, llevan a cabo operaciones no seguras en el sistema de archivos. Usan el protocolo ROC (4000/TCP, 5000/TCP) para las comunicaciones entre un terminal maestro y las RTU. El opcode 203 de este protocolo permite a un terminal maestro transferir archivos hacia y desde el sistema de archivos flash y realizar operaciones arbitrarias de lectura, escritura y eliminación de archivos y directorios.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:emerson:dl8000_firmware:*:*:*:*:*:*:*:* | 2022-05-02 (incluyendo) | |
| cpe:2.3:h:emerson:dl8000:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:emerson:roc809_firmware:*:*:*:*:*:*:*:* | 2022-05-02 (excluyendo) | |
| cpe:2.3:h:emerson:roc809:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:emerson:roc800l_firmware:*:*:*:*:*:*:*:* | 2022-05-02 (incluyendo) | |
| cpe:2.3:h:emerson:roc800l:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:emerson:fb3000_rtu_firmware:*:*:*:*:*:*:*:* | 2022-05-02 (incluyendo) | |
| cpe:2.3:h:emerson:fb3000_rtu:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:emerson:roc827_firmware:*:*:*:*:*:*:*:* | 2022-05-02 (excluyendo) | |
| cpe:2.3:h:emerson:roc827:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página