Control de acceso inadecuado en VSN300 WiFi Logger Card de ABB
Fecha de publicación:
12/07/2017
Importancia:
4 -
Alta
Recursos afectados:
Los dispositivos de monitorización de sistemas solares VSN300 WiFi Logger Card de ABB en sus versiones:
- VSN300 WiFi Logger Card versiones 1.8.15 y anteriores
- VSN300 WiFi Logger Card for React versiones 2.1.3 y anteriores
Descripción:
El investigador Maxim Rupp ha identificado una vulnerabilidad de control de acceso inadecuado en los dispositivos VSN300 WiFi Logger Card de ABB. Un potencial atacante remoto podría acceder a información privilegiada sin autorización.
Solución:
El fabricante ABB recomienda una actualización de firmware a la versión 1.9.0 o posterior para VSN300 WiFi Logger Card, y una versión 2.2.5 o posterior VSN300 WiFi Logger Card for React, para corregir estas vulnerabilidades.
Detalle:
- Una solicitud a un recurso específico URL, hacia el servidor web, permite a un potencial atacante extraer información interna sobre los dispositivos conectados y su estado, sin autorización. Se ha asignado el identificador CVE-2017-7920 para esta vulnerabilidad.
- La aplicación web no controla de una forma adecuada los permisos del usuario "Guest". Un potencial atacante podría tener acceso a información sobre configuración, que debería estar restringida para este usuario. Se ha asignado el identificador CVE-2017-7916 para esta vulnerabilidad.
Referencias:
Etiquetas: