Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en cámaras Pelco Sarix Pro de Schneider Electric

Múltiples vulnerabilidades en cámaras Pelco Sarix Pro de Schneider Electric

Fecha de publicación: 
26/04/2018
Importancia: 
4 - Alta
Recursos afectados: 
  • Primera generación de Pelco Sarix Pro con firmware versión anterior a la 3.29.69
Descripción: 

El investigador Giri Veeraraghavan Veda de Gulf Business Machines y el grupo Weapon x, han informado a Schneider Electric de 3 vulnerabilidades de severidad alta de los siguientes tipos: desbordamiento de búfer, escalada de privilegios y divulgación de información que afectan a sus cámaras Pelco Sarix Pro. Un potencial atacante autenticado podría llegar a obtener contraseñas de usuarios, provocar una denegación de servicio o realizar un desbordamiento de búfer.

Solución: 

Schneider Electric ha publicado la versión 3.29.69 del firmware que soluciona estas vulnerabilidades que puede descargarse desde:

https://www.pelco.com/search#keyword/v3.29.69/tab/documents

Detalle: 

Las vulnerabilidades identificadas son las siguientes:

  • Desbordamiento de búfer: Existe un desbordamiento de búfer en el programa “set” del cgi. Se ha reservado el identificador CVE-2018-7780 para esta vulnerabilidad.
  • Divulgación de contraseñas y escalada de privilegios: Un potencial atacante autenticado podría enviar peticiones especialmente manipuladas y podría ver las contraseñas en claro, desembocando en una escalada de privilegios. Se ha reservado el identificador CVE-2018-7781 para esta vulnerabilidad.
  • Divulgación de contraseñas: Un potencial atacante autenticado podría ver las contraseñas en claro. Se ha reservado el identificador CVE-2018-7782 para esta vulnerabilidad.

Encuesta valoración