Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Swascan rileva 2 bug di sicurezza su Emerson Dixell XWEB-500.

Il team di Swascan, recentemente ha individuato due bug di sicurezza all’interno dei prodotti Emerson Dixell XWEB-500, i quali sono vulnerabili agli attacchi di scrittura di file arbitrari.

Un utente malintenzionato potrebbe essere in grado di scrivere qualsiasi file sul sistema di destinazione senza alcun tipo di meccanismo di autenticazione, e questo può portare all’esplosione dello spazio del filesystem e, di conseguenza, a un Denial of Service.

Advertisements

Le vulnerabilità rilevate sono le seguenti:

  1. Arbitrary File Write – Severity 7,5 (High)
  2. Directory Listing – Severity 5,5 (Medium)

Arbitrary File Write

I prodotti Emerson Dixell XWEB-500 sono vulnerabili agli attacchi di scrittura di file arbitraria.

Un utente malintenzionato sarà in grado di scrivere qualsiasi file sul sistema di destinazione senza alcun tipo di meccanismo di autenticazione, e questo può portare all’esplosione del filesystem e, di conseguenza, a un Denial of Service.


Advertisements

Directory Listing

I prodotti Emerson Dixell XWEB-500 sono interessati dalla divulgazione delle informazioni tramite directory listing. Un potenziale aggressore può utilizzare questa configurazione errata per accedere a tutti i file presenti nelle directory.

In questo caso particolare, abbiamo scoperto che la directory java era molto interessante perché contiene molti file .jar che sono stati usati per trovare cgi nascosti.

Inoltre, ciò può consentire di trovare altri vettori di sfruttamento utilizzando tecniche di reverse engineering.

Advertisements