Inicio / Alerta Temprana / Avisos Sci / Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB

Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB

Fecha de publicación: 
12/07/2017
Importancia: 
4 - Alta
Recursos afectados: 

Los dispositivos de monitorización de sistemas solares VSN300 WiFi Logger Card de ABB en sus versiones:

  • VSN300 WiFi Logger Card versiones 1.8.15 y anteriores
  • VSN300 WiFi Logger Card for React versiones 2.1.3 y anteriores
Descripción: 

El investigador Maxim Rupp ha identificado una vulnerabilidad de control de acceso inadecuado en los dispositivos VSN300 WiFi Logger Card de ABB. Un potencial atacante remoto podría acceder a información privilegiada sin autorización.

Solución: 

El fabricante ABB recomienda una actualización de firmware a la versión 1.9.0 o posterior para VSN300 WiFi Logger Card, y una versión 2.2.5 o posterior VSN300 WiFi Logger Card for React, para corregir estas vulnerabilidades. 

Detalle: 
  • Una solicitud a un recurso específico URL, hacia el servidor web, permite a un potencial atacante extraer información interna sobre los dispositivos conectados y su estado, sin autorización. Se ha asignado el identificador CVE-2017-7920 para esta vulnerabilidad.
  • La aplicación web no controla de una forma adecuada los permisos del usuario "Guest". Un potencial atacante podría tener acceso a información sobre configuración, que debería estar restringida para este usuario. Se ha asignado el identificador CVE-2017-7916 para esta vulnerabilidad.