Vulnerabilidad CSRF en la turbina eólica XZERES 442SR

Fecha de publicación:

05/06/2015

Importancia:

5 - Crítica

Recursos afectados:

Los siguientes productos del fabricante XZERES están afectados por la vulnerabilidad:

Turbina eólica 442SR

Descripción:

Se ha encontrado una vulnerabilidad CSRF en el sistema operativo de la turbina eólica modelo 442SR perteneciente al fabricante XZERES.

Solución:

Para solucionar esta vulnerabilidad XZERES ha desarrollado un parche para desplegar de forma manual que mitiga la vulnerabilidad.

Contactar con el servicio técnico de XZERES 1-877-404-9438 para mayor información sobre la actualización.

Detalle:

En algunos modelos de turbinas eólicas XZERES, un atacante podría comprometer de forma remota al administrador y acceder a datos importantes. Utilizando el método GET en una petición HTTP, un atacante podría recuperar el ID del usuario desde el navegador, este hecho permitirá que el ID del usuario por defecto pueda ser cambiado. El logro de esta explotación podría causar una pérdida de potencia en todos los sistemas conectados.

Se ha reservado el identificador CVE-2015-3950 para esta vulnerabilidad.

Referencias:

XZERES 442SR Wind Turbine CSRF Vulnerability

Etiquetas:

Navegador

Vulnerabilidad

Accesos corporativos

Vulnerabilidad CSRF en la turbina eólica XZERES 442SR

Desbordamiento de búfer en 1794-AENT Flex I/O Series B de Rockwell Automation

Autenticación inadecuada en XMC20 Multiservice-Multiplexer de Hitachi ABB Power Grids

Vulnerabilidad de identificación inadecuada en múltiples productos de la serie COMTRAXX de Bender

Múltiples vulnerabilidades en varios productos de Advantech

Validación de entrada incorrecta en SPRECON-E de Sprecher Automation