Múltiples vulnerabilidades en el adaptador Web/SNMP de General Electric
Las siguientes versiones del adaptador Web/SNMP se ven afectadas:
- Versiones de firmware anteriores a la 4.8.
El investigador Karn Ganeshen ha identificado dos vulnerabilidades en el adaptador Web/SNMP del fabricante General Electric.
El fabricante ha desarrollado una nueva versión de firmware (Versión 4.8) para mitigar estas vulnerabilidades en los productos con número de producto 1024746, 1024747, 1024748 y 1024921.
Otros adaptadores Web/SNMP afectados deben ser actualizados a la última versión de hardware disponibles con la versión 4.8 de firmware.
Las vulnerabilidades que afectan a este adaptador y pueden ser explotadas de forma remota son las siguientes:
- Inyección de comandos: El dispositivo no realiza una validación de las entradas. Este hecho permite a un usuario autenticado ejecutar cualquier comando del sistema.
- Almacenamiento de información sensible en texto plano: Existen archivos accesibles de forma remota que contienen información sensible sin cifrar.
Se ha reservado el identificador CVE-2016-0861 para esta vulnerabilidad.
Se ha reservado el identificador CVE-2016-0862 para esta vulnerabilidad.