Evasión de autenticación en VESP211 de B+B SmartWorx

Fecha de publicación:

19/02/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

VESP211-EU versión 1.7.2
VESP211-232 versión 1.7.2
VESP211-232 versión 1.5.1

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los servidores serie VESP211 de la empresa B+B SmartWorx.

Solución:

Advantech/B+B recomienda utilizar los servidores serie VESP211 solo detrás de cortafuegos de red. B+B SmartWorx ha generado un plan de implementación para mitigar esta vulnerabilidad.

Detalle:

La interfaz web del servidor serie VESP211 utiliza JavaScript para comprobar la autenticación de los clientes y redirigir a los usuarios no autorizados a la página de login. Interceptado y cambiando las respuestas, un usuario no autenticado puede evadir la autenticación y acceder a páginas restringidas.

Se ha reservado el identificador CVE-2016-2275 para esta vulnerabilidad

Referencias:

B+B SmartWorx VESP211 Authentication Bypass Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Evasión de autenticación en VESP211 de B+B SmartWorx

Desbordamiento de búfer en LeviStudioU de WECON

Credenciales protegidas inapropiadamente en las impresoras industriales de Zebra

Múltiples vulnerabilidades en ProSyst mBS SDK y IoT Gateway Software de Bosch

Múltiples vulnerabilidades en los sistemas Metasys building automation de Johnson Controls

Desbordamiento de búfer en Alpha5 Smart Loader de Fuji Electric