Evasión de autenticación en VESP211 de B+B SmartWorx

Fecha de publicación:

19/02/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

VESP211-EU versión 1.7.2
VESP211-232 versión 1.7.2
VESP211-232 versión 1.5.1

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los servidores serie VESP211 de la empresa B+B SmartWorx.

Solución:

Advantech/B+B recomienda utilizar los servidores serie VESP211 solo detrás de cortafuegos de red. B+B SmartWorx ha generado un plan de implementación para mitigar esta vulnerabilidad.

Detalle:

La interfaz web del servidor serie VESP211 utiliza JavaScript para comprobar la autenticación de los clientes y redirigir a los usuarios no autorizados a la página de login. Interceptado y cambiando las respuestas, un usuario no autenticado puede evadir la autenticación y acceder a páginas restringidas.

Se ha reservado el identificador CVE-2016-2275 para esta vulnerabilidad

Referencias:

B+B SmartWorx VESP211 Authentication Bypass Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Evasión de autenticación en VESP211 de B+B SmartWorx

Múltiples vulnerabilidades en MELSEC-F Series de Mitsubishi Electric

Múltiples vulnerabilidades en cámaras IP y servidores de vídeo de Moxa

Avisos de seguridad de Siemens de enero de 2022

Múltiples vulnerabilidades en productos de Schneider Electric

Múltiples vulnerabilidades en PLCs de IDEC