Inicio / Alerta Temprana / Avisos Sci / Acceso no autenticado al servidor web en productos de Phoenix Contact

Acceso no autenticado al servidor web en productos de Phoenix Contact

Fecha de publicación: 
14/02/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Phoenix Contact Emalytics Controllers ILC 2050 BI, hasta la versión de firmware 1.21;
  • Phoenix Contact Emalytics Controllers ILC 2050 BI-L, hasta la versión de firmware 1.21.
Descripción: 

Anil Parmar ha descubierto una vulnerabilidad crítica, de configuración remota usando acceso no autenticado a un servidor web, que afecta a varios productos de Phoenix Contact.

Solución: 

Actualizar los productos afectados a la versión de firmware 1.2.3 o superior.

Detalle: 

Un enlace a la web de los dispositivos afectados otorga un acceso no autorizado, con permisos de lectura y escritura, a la configuración de dichos dispositivos, lo que permitiría a un atacante modificar la configuración de los dispositivos e iniciar y detener servicios. Se ha reservado el identificador CVE-2020-8768 para esta vulnerabilidad.

Encuesta valoración