For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00616
Identificador(es)
ASA-2019-00616, CVE-2019-3976, TRA-2019-46
Título
Relative Path Traversal durante parsing de NPK
Fabricante(s)
MikroTik
Produto(s)
MikroTik RouterOS
Versão(ões) afetada(s)
MikroTik RouterOS Stable versões anteriores 6.45.7
MikroTik RouterOS Long-term versões anteriores 6.44.6
Versão(ões) corrigida(s)
MikroTik RouterOS Stable versão 6.45.7
MikroTik RouterOS Long-term versão 6.44.6
Prova de conceito
Sim
Descrição
RouterOS 6.45.6 Stable, RouterOS 6.44.5 Long-term e versões anteriores são vulneráveis a criação de diretórios arbitrários por meio do campo name no pacote de atualização. Se um usuário autenticado instalar um pacote malicioso, um diretório poderá ser criado e a shell do desenvolvedor poderá ser ativada.
Detalhes técnicos
Desconhecido
Créditos
Jacob Baines (Tenable Research)
Referência(s)
MikroTik RouterOS Multiple Vulnerabilities
https://www.tenable.com/security/research/tra-2019-46
RouterOS: Chain to Root
https://medium.com/tenable-techblog/routeros-chain-to-root-f4e0b07c0b21
Option NPK
https://github.com/tenable/routeros/tree/master/option_npk/
MikroTik Routers and Wireless – Software
https://mikrotik.com/download/changelogs
CVE-2019-3976
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-3976
CVE-2019-3976
https://nvd.nist.gov/vuln/detail/CVE-2019-3976
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 31 outubro 2019