CWE-22: Travessia do caminho:
A implementação do objeto de arquivo OPC UA permite ignorar a separação entre namespaces OPC UA, limitações na atribuição do caminho do diretório para objetos FileDirectory OPC UA e limitações na atribuição do caminho do arquivo para objetos File OPC UA. Em combinação com o CVE-2023-29378 , o servidor dá acesso de leitura e gravação a arquivos locais que poderiam ser usados para a remoção remota de código.
CVE-2023-29377
Suavização
OPC UA C++ SDK e servidor de integração segura
7.7
A Team82 tem o compromisso de relatar, de forma privada, vulnerabilidades aos fornecedores afetados de maneira coordenada e oportuna, a fim de garantir a segurança do ecossistema de cibersegurança em todo o mundo. Para se envolver com o fornecedor e a comunidade de pesquisa, a Team82 convida você a baixar e compartilhar nossa Política de divulgação coordenada. A Team82 aderirá a esse processo de divulgação e relatório quando descobrirmos vulnerabilidades em produtos e serviços.
A Team82 também disponibilizou sua chave PGP pública para que o fornecedor e a comunidade de pesquisa troquem informações de vulnerabilidade e pesquisa conosco com segurança.
