Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB

Fecha de publicación:

12/07/2017

Importancia:

4 - Alta

Recursos afectados:

Los dispositivos de monitorización de sistemas solares VSN300 WiFi Logger Card de ABB en sus versiones:

VSN300 WiFi Logger Card versiones 1.8.15 y anteriores
VSN300 WiFi Logger Card for React versiones 2.1.3 y anteriores

Descripción:

El investigador Maxim Rupp ha identificado una vulnerabilidad de control de acceso inadecuado en los dispositivos VSN300 WiFi Logger Card de ABB. Un potencial atacante remoto podría acceder a información privilegiada sin autorización.

Solución:

El fabricante ABB recomienda una actualización de firmware a la versión 1.9.0 o posterior para VSN300 WiFi Logger Card, y una versión 2.2.5 o posterior VSN300 WiFi Logger Card for React, para corregir estas vulnerabilidades.

Detalle:

Una solicitud a un recurso específico URL, hacia el servidor web, permite a un potencial atacante extraer información interna sobre los dispositivos conectados y su estado, sin autorización. Se ha asignado el identificador CVE-2017-7920 para esta vulnerabilidad.
La aplicación web no controla de una forma adecuada los permisos del usuario "Guest". Un potencial atacante podría tener acceso a información sobre configuración, que debería estar restringida para este usuario. Se ha asignado el identificador CVE-2017-7916 para esta vulnerabilidad.

Referencias:

ABB VSN300 WiFi Logger Card

Improper Authentication, Permission, Privileges and Access Controls in VSN300 Wi - Fi Logger Card (standard and for React)

Etiquetas:

Comunicaciones

Vulnerabilidad

Accesos corporativos

Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB

Vulnerabilidad en fdtContainer de WAGO/M&M Software

Múltiples vulnerabilidades en productos SOOIL

Múltiples vulnerabilidades en productos Schneider Electric

Avisos de seguridad de Siemens de enero de 2021

Múltiples vulnerabilidades en CX-One de Omron