Inicio / Alerta Temprana / Avisos Sci / Gestión de privilegios inadecuada en múltiples productos de WAGO

Gestión de privilegios inadecuada en múltiples productos de WAGO

Fecha de publicación: 
11/06/2020
Importancia: 
5 - Crítica
Recursos afectados: 

Todas las versiones de firmware de los siguientes productos:

  • Series PFC100 (750-81xx/xxx-xxx),
  • Series PFC200 (750-82xx/xxx-xxx),
  • 762-4xxx Wago Touch Panel 600 Standard Line,
  • 762-5xxx Wago Touch Panel 600 Advanced Line,
  • 762-6xxx Wago Touch Panel 600 Marine Line.
Descripción: 

El investigador, Kelly Leuschner de la empresa Cisco Talos, coordinado por el CERT@VDE, ha identificado una vulnerabilidad, de severidad crítica, de tipo gestión inadecuada de privilegios en distintos productos de WAGO, que ha reportado al propio fabricante.

Solución: 

En versiones anteriores de los manuales de productos de WAGO, se hizo una distinción entre WBM y el sistema Linux. Esta información era incorrecta y WAGO la ha corregido en las versiones actuales de los manuales, que se actualizarán en junio de 2020. Válido desde la versión de firmware 03.04.10 (16) / capítulo 5.1.2.1.2.

Detalle: 

Un atacante autenticado que tenga acceso a WBM (Web Based Management) podría usar la funcionalidad de carga de software para instalar un paquete de software con privilegios de root. Este hecho podría permitirle manipular el dispositivo u obtener el control del mismo. Se ha reservado el identificador CVE-2020-6090 para esta vulnerabilidad.

Encuesta valoración