Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric
Fecha de publicación:
02/03/2016
Importancia:
4 -
Alta
Recursos afectados:
Los productos afectados son los siguientes:
- StruxureWare Building Operations Application Server, versión 1.7 y anteriores.
Descripción:
El investigador independiente Karn Ganeshen ha identificado una vulnerabilidad de inyección de comandos que afecta al software StruxureWare Building Operation de Schneider Electric.
Solución:
Schneider Electric a publicado una nueva versión del firmware del Application Server que soluciona esta vulnerabilidad.
Detalle:
Las vulnerabilidades identificadas son:
- Gestión débil de credenciales: El sistema permite al usuario operar el sistema con credenciales por defecto débiles. Los usuarios son recomendados a realizar el cambio de credenciales pero es posible operar el sistema sin hacerlo. El usuario no es forzado a cambiar las credenciales previamente a la operación.
- Inyección de comandos de sistema operativo: La implementación delas funciones de Minimal Shell (msh) permiten a los usuarios administradores eludir el control de accesos.
Esta vulnerabilidad puede ser aprovechada de forma remota.
Se ha reservado el identificador CVE-2016-2278 para esta vulnerabilidad.
Referencias:
Etiquetas: