FUXA is a web-based Process Visualization (SCADA/HMI/Dashboard) software. Prior to 1.2.11, there is a flaw in the path sanitization logic allows an authenticated attacker with administrative privileges to bypass directory traversal protections. By using nested traversal sequences (e.g., ....//), an attacker can write arbitrary files to the server filesystem, including sensitive directories like runtime/scripts. This leads to Remote Code Execution (RCE) when the server reloads the malicious scripts. This vulnerability is fixed in 1.2.11.
FUXA versions prior to 1.2.11 contain a path traversal vulnerability in directory sanitization that allows authenticated administrators to write arbitrary files to the server filesystem using nested traversal sequences. This can lead to Remote Code Execution when malicious scripts are loaded during server reload.
تؤثر هذه الثغرة على برنامج FUXA لتصور العمليات (SCADA/HMI) وتسمح للمسؤولين المصرحين بتجاوز حماية اجتياز الدليل باستخدام تسلسلات متداخلة مثل ....//. يمكن للمهاجم كتابة ملفات عشوائية في أدلة حساسة وتنفيذ كود بعيد عند إعادة تحميل الخادم.
إصدارات FUXA السابقة للإصدار 1.2.11 تحتوي على ثغرة اجتياز المسار في منطق تطهير الدليل تسمح للمسؤولين المصرحين بكتابة ملفات عشوائية على نظام الملفات باستخدام تسلسلات اجتياز متداخلة. يمكن أن يؤدي هذا إلى تنفيذ كود بعيد عند تحميل البرنامج النصي الضار أثناء إعادة تحميل الخادم.
Upgrade FUXA to version 1.2.11 or later immediately. Implement strict access controls limiting administrative privileges to trusted personnel only. Monitor file system changes in runtime/scripts directories. Disable automatic script reloading if not required. Implement Web Application Firewall (WAF) rules to detect and block path traversal attempts using nested sequences like ....//
قم بترقية FUXA إلى الإصدار 1.2.11 أو أحدث على الفور. تطبيق ضوابط وصول صارمة تقصر الامتيازات الإدارية على الموظفين الموثوقين فقط. مراقبة التغييرات في نظام الملفات في أدلة runtime/scripts. تعطيل إعادة تحميل البرنامج النصي التلقائي إذا لم تكن مطلوبة. تطبيق قواعد جدار حماية تطبيقات الويب لكشف ومنع محاولات اجتياز المسار باستخدام تسلسلات متداخلة