Carel pCOWeb HVAC BACnet Gateway 漏洞列表

设备存在未经验证的任意文件泄漏漏洞.输入通过“file”GET参数通过“logdownload”传递。cgi'Bash脚本在用于下载日志文件之前未正确验证。这可以被利用通过目录遍历攻击泄露任意和敏感文件的内容。

pCOWeb是CAREL为其客户提供的管理HVAC/R的解决方案应用程序和系统。它由可编程控制器、用户界面，网关和通信接口，为原始设备制造商提供的远程管理系统在HVAC/R中工作是一个强大而灵活的控制系统，可以很容易地连接到更广泛使用的楼宇管理系统，也可以集成到专有监督系统。该系统存在目录遍历漏洞，攻击者可以读取到系统大部分文件