Inicio / Alerta Temprana / Avisos Sci / Evasión de autenticación en Eaton Lighting Systems EG2

Evasión de autenticación en Eaton Lighting Systems EG2

Fecha de publicación: 
06/04/2016
Importancia: 
4 - Alta
Recursos afectados: 

Eaton Lighting Systems ha comunicado que están afectadas las siguientes versiones:

  • EG2 Web Control V4.04P y anteriores.
Descripción: 

Un investigador independiente Maxim Rupp ha identificado vulnerabilidades en la aplicación Eaton Lighting Systems EG2 Web Control.

Solución: 

Eaton Lighting Systems ha tomado la decisión de eliminar esta funcionalidad de sus dispositivos. El dispositivo EG2 está en su último año de vida, por lo que este será sustituido por un nuevo hardware y OS. Eaton Lighting Systems ha producido un nuevo parche firmware para mitigar esta vulnerabilidad. Para obtener el parche contactar con el soporte del fabricante que puede consultarse en su sitio web: http://www.eaton.com/cybersecurity

Detalle: 

Se han identificado vulnerabilidades en la aplicación de control web de Eaton Lighting Systems EG2. Estas vulnerabilidades podrían ser explotadas remotamente por un atacante, permitiendole realizar operaciones administrativas que posibilitan la conexión EG2 para configurar el sistema a través de internet.

  • Gestión indebida de cookies sin comprobación en la validación e integridad: Los atacantes pueden fácilmente modificar las cookies o implementar código en el lado del cliente dentro del navegador.

    Se ha reservado el identificador CVE-2016-2272 para esta vulnerabilidad.

  • Almacenamiento de información sensible en texto plano: Un usuario no autorizado puede acceder al archivo de configuración para ver las credenciales.

    Se ha reservado el identificador CVE-2016-0871 para esta vulnerabilidad.

Etiquetas: