Inicio / Alerta Temprana / Avisos Sci / Evasión de autenticación en VESP211 de B+B SmartWorx

Evasión de autenticación en VESP211 de B+B SmartWorx

Fecha de publicación: 
19/02/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Los productos afectados son los siguientes:

  • VESP211-EU versión 1.7.2
  • VESP211-232 versión 1.7.2
  • VESP211-232 versión 1.5.1
Descripción: 

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los servidores serie VESP211 de la empresa B+B SmartWorx.

Solución: 

Advantech/B+B recomienda utilizar los servidores serie VESP211 solo detrás de cortafuegos de red. B+B SmartWorx ha generado un plan de implementación para mitigar esta vulnerabilidad.

Detalle: 

La interfaz web del servidor serie VESP211 utiliza JavaScript para comprobar la autenticación de los clientes y redirigir a los usuarios no autorizados a la página de login. Interceptado y cambiando las respuestas, un usuario no autenticado puede evadir la autenticación y acceder a páginas restringidas.

Se ha reservado el identificador CVE-2016-2275 para esta vulnerabilidad

Etiquetas: