Control de acceso inadecuado en dispositivos xComfort de Eaton
- xComfort ECI, versiones 1.07 y anteriores.
El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de inadecuado control de acceso que afecta a las interfaces de comunicación Ethernet xComfort de Eaton. Un potencial atacante remoto podría acceder a los ficheros de backup y el log del sistema sin necesidad de autenticación.
Eaton recomienda todos los usuarios afectados actualizar a la última versión del software, que puede descargarse desde la pestaña Software Downloads dentro de la sección Documentation en el siguiente enlace: www.eaton.eu/xcomfort#tabs-11
A través de una URL específica en el servidor web, un atacante remoto podría acceder a ficheros sin autenticación, accediendo de esta forma a ficheros de log y backup del dispositivo. Se ha reservado el identificador CVE-2017-9368 para esta vulnerabilidad.