CVE-2023-2917
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
17/08/2023
Última modificación:
23/08/2023
Descripción
*** Pendiente de traducción *** The Rockwell Automation Thinmanager Thinserver is impacted by an improper input validation vulnerability. Due to an improper input validation, a path traversal vulnerability exists, via the filename field, when the ThinManager processes a certain function. If exploited, an unauthenticated remote attacker can upload arbitrary files to any directory on the disk drive where ThinServer.exe is installed. A malicious user could exploit this vulnerability by sending a crafted synchronization protocol message and potentially gain remote code execution abilities.<br />
<br />
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:rockwellautomation:thinmanager_thinserver:*:*:*:*:*:*:*:* | 11.0.0 (incluyendo) | 11.0.6 (incluyendo) |
| cpe:2.3:a:rockwellautomation:thinmanager_thinserver:*:*:*:*:*:*:*:* | 11.1.0 (incluyendo) | 11.1.6 (incluyendo) |
| cpe:2.3:a:rockwellautomation:thinmanager_thinserver:*:*:*:*:*:*:*:* | 11.2.0 (incluyendo) | 11.2.7 (incluyendo) |
| cpe:2.3:a:rockwellautomation:thinmanager_thinserver:*:*:*:*:*:*:*:* | 12.0.0 (incluyendo) | 12.0.5 (incluyendo) |
| cpe:2.3:a:rockwellautomation:thinmanager_thinserver:*:*:*:*:*:*:*:* | 12.1.0 (incluyendo) | 12.1.6 (incluyendo) |
| cpe:2.3:a:rockwellautomation:thinmanager_thinserver:*:*:*:*:*:*:*:* | 13.0.0 (incluyendo) | 13.0.2 (incluyendo) |
| cpe:2.3:a:rockwellautomation:thinmanager_thinserver:13.1.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página