Authenticated Command Injection In Phoenix Contact Tc Router & Tc Cloud Client

Title

Authenticated Command Injection

Product

Phoenix Contact TC Router & TC Cloud Client

Vulnerable Version

<=2.05.3 & <=2.03.17 & <=1.03.17

Fixed Version

2.05.4 & 2.03.18 & 1.03.18

CVE Number

CVE-2020-9436, CVE-2020-9435

Impact

high

Homepage

https://www.phoenixcontact.com/ _blank

Found

22.01.2020

T. Weber (Office Vienna) | SEC Consult Vulnerability Lab

Die Geräte der Serien TC Cloud Client und TC Router von Phoenix Contact sind von mehreren Schwachstellen betroffen, welche sich aus unsicherer Programmierung und veralteten eingebetteten Softwarekomponenten ergeben. Ein emuliertes Gerät wurde einem schnellen Security Crash-Test unterzogen. Dabei wurden Schwachstellen wie Command Injection und bekannte Schwächen in BusyBox entdeckt.

Zum ausführlichen Security-Advisory (Englisch)

Security Research: Thomas Weber / @2020

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.

Zurück

Authenticated Command Injection In Phoenix Contact Tc Router & Tc Cloud Client

Wir nutzen Cookies

Technisch erforderlich

Analyse / Statistik

Matomo