Inicio / Alerta Temprana / Avisos Sci / Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Fecha de publicación: 
02/03/2016
Importancia: 
4 - Alta
Recursos afectados: 

Los productos afectados son los siguientes:

  • StruxureWare Building Operations Application Server, versión 1.7 y anteriores.
Descripción: 

El investigador independiente Karn Ganeshen ha identificado una vulnerabilidad de inyección de comandos que afecta al software StruxureWare Building Operation de Schneider Electric.

Solución: 

Schneider Electric a publicado una nueva versión del firmware del Application Server que soluciona esta vulnerabilidad.

Detalle: 

Las vulnerabilidades identificadas son:

  • Gestión débil de credenciales: El sistema permite al usuario operar el sistema con credenciales por defecto débiles. Los usuarios son recomendados a realizar el cambio de credenciales pero es posible operar el sistema sin hacerlo. El usuario no es forzado a cambiar las credenciales previamente a la operación.
  • Inyección de comandos de sistema operativo: La implementación delas funciones de Minimal Shell (msh) permiten a los usuarios administradores eludir el control de accesos.

Esta vulnerabilidad puede ser aprovechada de forma remota.

Se ha reservado el identificador CVE-2016-2278 para esta vulnerabilidad.

Etiquetas: