ГлавнаяБаза уязвимостей БДУ → BDU:2022-04587
10критическая

BDU:2022-04587 (CVE-2020-27304)

Уязвимость механизма загрузки файлов веб-сервера CivetWeb, связанная с ошибками в обработке относительного пути к каталогу, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2022-07-22
Описание

Уязвимость механизма загрузки файлов веб-сервера CivetWeb связана с ошибками в обработке относительного пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код, путем отправки специально сформированного HTTP-запроса

Затрагиваемое ПО и версии
SINEC INS (до 1.0.1.1)SCALANCE LPE9403 (до 2.0)CivetWeb (от 1.8 до 1.15)
Способ устранения

Использование рекомендаций:
https://cert-portal.siemens.com/productcert/pdf/ssa-222547.pdf
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2020-27304https://cert-portal.siemens.com/productcert/pdf/ssa-222547.pdfhttps://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdfhttps://groups.google.com/g/civetweb/c/yPBxNXdGgJQhttps://jfrog.com/blog/cve-2020-27304-rce-via-directory-traversal-in-civetweb-http-server/https://www.cybersecurity-help.cz/vdb/SB2022061528
Проверьте безопасность своего сайта и почты → Полная проверка домена