Inicio / Alerta Temprana / Avisos Sci / Divulgación de información de cuentas de usuarios en Ecava IntegraXor

Divulgación de información de cuentas de usuarios en Ecava IntegraXor

Fecha de publicación: 
02/04/2014
Importancia: 
3 - Media
Recursos afectados: 

Sistemas afectados:

  • Ecava IntegraXor 3.60.4061
  • Ecava IntegraXor 3.71
  • Ecava IntegraXor 4.1.4360
  • Ecava IntegraXor 3.5.3900.10
  • Ecava IntegraXor 3.5.3900.5
  • Ecava IntegraXor 3.5.4000.5
  • Ecava IntegraXor 3.6.4000.5
  • Ecava IntegraXor 3.6.4000.0
  • Ecava IntegraXor 3.60
  • Ecava IntegraXor 3.60.4032
  • Ecava IntegraXor 3.60.4050
  • Ecava IntegraXor 3.71.4200
  • Ecava IntegraXor 3.5
  • Ecava IntegraXor 3.72
  • Ecava IntegraXor 4.00
  • Ecava IntegraXor 4.00.4250
  • Ecava IntegraXor 4.00.4280
  • Ecava IntegraXor 4.1.4369
  • Ecava IntegraXor 4.1.4380
  • Ecava IntegraXor 4.1.4390
Descripción: 

Un investigador de seguridad ha informado sobre una vulnerabilidad en Ecava IntegraXor, mediante la cual usando una cuenta de invitado se tiene acceso a información sensible.

Solución: 

IntegraXor ha publicado una actualización se solucionada la vulnerabilidad. Descargase en el siguiente enlace.

Para mitigar esta vulnerabilidad si no puede ser actualizado el sistema por motivos de compatibilidad, el fabricante recomienda habilitar Enhanced User Security y configurar el cifrado de la información de cuentas (véase más abajo la captura). Esta opciones de configuración se activarán por defecto a partir de la próxima versión.

IMAGEN

Detalle: 

Ecava IntegraXor, un software para el control de sistemas industriales (HMI/SCADA) mediante una interfaz web, ha publicado una vulnerabilidad en la que un atacante con una cuenta de invitado podría obtener información sensible que podría ser usada en ataques posteriores.

Para explotar la vulnerabilidad el atacante debe tener acceso a un ordenador vulnerable y conocer el puerto de conexión y URL completa del proyecto.