Delta Electronics DIAEnergie vor 1.10.00.005 File Name Directory Traversal
CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
---|---|---|
6.6 | $0-$5k | 0.00 |
In Delta Electronics DIAEnergie wurde eine kritische Schwachstelle entdeckt. Hierbei betrifft es ein unbekannter Ablauf der Komponente File Name Handler. Durch die Manipulation mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-22. Dies hat Einfluss auf Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
It is possible to perform a path traversal attack and write outside of the intended directory. If a file name is specified that already exists on the file system, then the original file will be overwritten.
Die Schwachstelle wurde durch Michael Heinzl als icsa-24-074-12 öffentlich gemacht. Bereitgestellt wird das Advisory unter cisa.gov. Die Verwundbarkeit wird seit dem 12.03.2024 als CVE-2024-28171 geführt. Die Ausnutzbarkeit gilt als leicht. Der Angriff kann über das Netzwerk angegangen werden. Technische Details oder ein Exploit zur Schwachstelle sind nicht verfügbar. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1006 aus.
Ein Aktualisieren auf die Version 1.10.00.005 vermag dieses Problem zu lösen.
Produkt
Hersteller
Name
Version
- 1.08
- 1.1
- 1.7
- 1.7.1
- 1.7.2
- 1.7.3
- 1.7.4
- 1.7.5
- 1.8.02
- 1.8.02.004
- 1.8.02.1
- 1.8.02.2
- 1.8.02.3
- 1.9.01.002
- 1.9.02.001
- 1.9.03.001
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB CVSS-B Score: 🔒VulDB CVSS-BT Score: 🔒
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.7VulDB Meta Temp Score: 6.6
VulDB Base Score: 5.4
VulDB Temp Score: 5.2
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.1
CNA Vector (ICS-CERT): 🔒
CVSSv2
AV | AC | Au | C | I | A |
---|---|---|---|---|---|
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
---|---|---|---|---|---|
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Directory TraversalCWE: CWE-22
CAPEC: 🔒
ATT&CK: 🔒
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
0-Day | freischalten | freischalten | freischalten | freischalten |
---|---|---|---|---|
Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: DIAEnergie 1.10.00.005
Timeline
12.03.2024 CVE zugewiesen22.03.2024 Advisory veröffentlicht
22.03.2024 VulDB Eintrag erstellt
22.03.2024 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: icsa-24-074-12Person: Michael Heinzl
Status: Bestätigt
CVE: CVE-2024-28171 (🔒)
Eintrag
Erstellt: 22.03.2024 07:21Anpassungen: 22.03.2024 07:21 (65)
Komplett: 🔍
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.