Evasión de autenticación en VESP211 de B+B SmartWorx

Fecha de publicación:

19/02/2016

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

VESP211-EU versión 1.7.2
VESP211-232 versión 1.7.2
VESP211-232 versión 1.5.1

Descripción:

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de evasión de autenticación en los servidores serie VESP211 de la empresa B+B SmartWorx.

Solución:

Advantech/B+B recomienda utilizar los servidores serie VESP211 solo detrás de cortafuegos de red. B+B SmartWorx ha generado un plan de implementación para mitigar esta vulnerabilidad.

Detalle:

La interfaz web del servidor serie VESP211 utiliza JavaScript para comprobar la autenticación de los clientes y redirigir a los usuarios no autorizados a la página de login. Interceptado y cambiando las respuestas, un usuario no autenticado puede evadir la autenticación y acceder a páginas restringidas.

Se ha reservado el identificador CVE-2016-2275 para esta vulnerabilidad

Referencias:

B+B SmartWorx VESP211 Authentication Bypass Vulnerability

Etiquetas:

Vulnerabilidad

Accesos corporativos

Evasión de autenticación en VESP211 de B+B SmartWorx

Múltiples vulnerabilidades en GPS Tracker de Uffizio

Múltiples vulnerabilidades en VigorConnect de Draytek

Múltiples vulnerabilidades en productos Schneider Electric

Múltiples vulnerabilidades en WebAccess de Advantech

Avisos de seguridad de Siemens de octubre de 2021