// For flags

CVE-2019-5159

 

Severity Score

7.8
*CVSS v3.1

Exploit Likelihood

*EPSS

Affected Versions

*CPE

Public Exploits

1
*Multiple Sources

Exploited in Wild

-
*KEV

Decision

-
*SSVC
Descriptions

An exploitable improper input validation vulnerability exists in the firmware update functionality of WAGO e!COCKPIT automation software v1.6.0.7. A specially crafted firmware update file can allow an attacker to write arbitrary files to arbitrary locations on WAGO controllers as a part of executing a firmware update, potentially resulting in code execution. An attacker can create a malicious firmware update package file using any zip utility. The user must initiate a firmware update through e!COCKPIT and choose the malicious wup file using the file browser to trigger the vulnerability.

Existe una vulnerabilidad de comprobación de entrada inapropiada explotable en la funcionalidad de actualización de firmware del software de automatización WAGO e!COCKPIT versión v1.6.0.7. Un archivo de actualización de firmware especialmente diseñado puede permitir a un atacante escribir archivos arbitrarios en ubicaciones arbitrarias en los controladores WAGO como parte de la ejecución de una actualización de firmware, resultando potencialmente en una ejecución de código. Un atacante puede crear un archivo de paquete de actualización de firmware malicioso utilizando cualquier utilidad zip. El usuario debe iniciar una actualización de firmware por medio de e!COCKPIT y elegir el archivo wup malicioso usando el navegador de archivos para desencadenar la vulnerabilidad.

*Credits: N/A
CVSS Scores
Attack Vector
Local
Attack Complexity
Low
Privileges Required
None
User Interaction
Required
Scope
Unchanged
Confidentiality
High
Integrity
High
Availability
High
Attack Vector
Network
Attack Complexity
Medium
Authentication
None
Confidentiality
Partial
Integrity
Partial
Availability
Partial
* Common Vulnerability Scoring System
SSVC
  • Decision:-
Exploitation
-
Automatable
-
Tech. Impact
-
* Organization's Worst-case Scenario
Timeline
  • 2019-01-04 CVE Reserved
  • 2020-03-10 CVE Published
  • 2023-07-14 EPSS Updated
  • 2024-08-04 CVE Updated
  • 2024-08-04 First Exploit
  • ---------- Exploited in Wild
  • ---------- KEV Due Date
CWE
  • CWE-668: Exposure of Resource to Wrong Sphere
CAPEC
References (1)
URL Tag Source
URL Date SRC
https://talosintelligence.com/vulnerability_reports/TALOS-2019-0952 2024-08-04
URL Date SRC
URL Date SRC
Affected Vendors, Products, and Versions
Vendor Product Version Other Status
Vendor Product Version Other Status <-- --> Vendor Product Version Other Status
Wago
Search vendor "Wago"
 E\!cockpit
Search vendor "Wago" for product "E\!cockpit"
 1.6.0.7
Search vendor "Wago" for product "E\!cockpit" and version "1.6.0.7"
-
Affected