Evasión de autenticación en VESP211 de B+B SmartWorx

Fecha de publicación:

19/02/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

VESP211-EU versión 1.7.2
VESP211-232 versión 1.7.2
VESP211-232 versión 1.5.1

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los servidores serie VESP211 de la empresa B+B SmartWorx.

Solución:

Advantech/B+B recomienda utilizar los servidores serie VESP211 solo detrás de cortafuegos de red. B+B SmartWorx ha generado un plan de implementación para mitigar esta vulnerabilidad.

Detalle:

La interfaz web del servidor serie VESP211 utiliza JavaScript para comprobar la autenticación de los clientes y redirigir a los usuarios no autorizados a la página de login. Interceptado y cambiando las respuestas, un usuario no autenticado puede evadir la autenticación y acceder a páginas restringidas.

Se ha reservado el identificador CVE-2016-2275 para esta vulnerabilidad

Referencias:

B+B SmartWorx VESP211 Authentication Bypass Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Evasión de autenticación en VESP211 de B+B SmartWorx

Múltiples vulnerabilidades en Field Xpert de ENDRESS+HAUSER

Múltiples vulnerabilidades en móviles ecom de PEPPERL+FUCHS

Vulnerabilidad de elemento de ruta de búsqueda no controlado en Sentinel UltraPro de Gemalto

Verificación inadecuada de condiciones inusuales en Triconex TriStation Emulator de Schneider Electric

Múltiples vulnerabilidades en productos de Schneider Electric