Evasión de autenticación en VESP211 de B+B SmartWorx
Los productos afectados son los siguientes:
- VESP211-EU versión 1.7.2
- VESP211-232 versión 1.7.2
- VESP211-232 versión 1.5.1
El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los servidores serie VESP211 de la empresa B+B SmartWorx.
Advantech/B+B recomienda utilizar los servidores serie VESP211 solo detrás de cortafuegos de red. B+B SmartWorx ha generado un plan de implementación para mitigar esta vulnerabilidad.
La interfaz web del servidor serie VESP211 utiliza JavaScript para comprobar la autenticación de los clientes y redirigir a los usuarios no autorizados a la página de login. Interceptado y cambiando las respuestas, un usuario no autenticado puede evadir la autenticación y acceder a páginas restringidas.
Se ha reservado el identificador CVE-2016-2275 para esta vulnerabilidad