Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en CirCarLife de Circontrol

Múltiples vulnerabilidades en CirCarLife de Circontrol

Fecha de publicación: 
02/11/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • CirCarLife todas las versiones anteriores a 4.3.1
Descripción: 

Ankit Anubhav de NewSky Security, M. Can Kurnaz de KMPG Holanda, Alim Solmaz de Atos, Michael Jonh de WePower Network y Gyorgy Miru de Verint han reportado estas vulnerabilidades de tipo evasión de autenticación y credenciales insuficientemente protegidas. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto obtener credenciales almacenadas en texto plano, evadir la autenticación así como ver y acceder a información crítica.

Solución: 

Circontrol ha publicado una nueva versión de software que soluciona estas vulnerabilidades, disponible en el siguiente enlace:

http://expertarea.circontrol.com/

Detalle: 
  • Evasión de autenticación: La autenticación en el dispositivo puede ser evitada introduciendo una URL de un sitio específico. Se ha reservado el identificador CVE-2018-17918 para esta vulnerabilidad.
  • Credenciales insuficientemente protegidas: Las credenciales PAP del dispositivo son almacenadas en texto plano dentro de un fichero de log que es accesible sin autenticación. Se ha reservado el identificador CVE-2018-17922 para esta vulnerabilidad.

Encuesta valoración

Etiquetas: