📚 Honeywell Midas Gas Detector/Black Gas Detector Directory Traversal
💡 Newskategorie: Sicherheitslücken
🔗 Quelle: scip.ch
Allgemein
scipID: 79876
Betroffen: Honeywell Midas Gas Detector/Black Gas Detector
Veröffentlicht: 21.12.2015
Risiko: kritisch
Erstellt: 22.12.2015
Eintrag: 64.7% komplett
Beschreibung
In Honeywell Midas Gas Detector sowie Black Gas Detector – eine genaue Versionsangabe ist nicht möglich – wurde eine Schwachstelle entdeckt. Sie wurde als kritisch eingestuft. Das betrifft eine unbekannte Funktion. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
Directory traversal vulnerability in the web server on Honeywell Midas gas detectors before 1.13b3 and Midas Black gas detectors before 2.13b3 allows remote attackers to bypass authentication, and write to a configuration file or trigger a calibration or test, via unspecified vectors.
Die Schwachstelle wurde am 21.12.2015 an die Öffentlichkeit getragen. Eine eindeutige Identifikation der Schwachstelle wird mit CVE-2015-7907 vorgenommen. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade vermag dieses Problem zu beheben.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
Exploiting
Klasse: Directory Traversal
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $2k-$5k (0-day) / $0-$1k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Timeline
21.12.2015 | Advisory veröffentlicht
22.12.2015 | VulDB Eintrag erstellt
22.12.2015 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2015-7907 (mitre.org) (nvd.nist.org) (cvedetails.com)
...