Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en dispositivos VMU-C de Carlo Gavazzi

Múltiples vulnerabilidades en dispositivos VMU-C de Carlo Gavazzi

Fecha de publicación: 
13/01/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • VMU-C EM versiones de firmware anteriores a la versión A11_U05
  • VMU-C PV versiones de firmware anteriores a la versión A17
Descripción: 

El investigador de seguridad Karn Ganeshen ha reportado vulnerabilidades que afectan a los dispositivos de Carlo Gavazzi. Las vulnerabilidades están relacionadas con el control de acceso, CSRF y almacenamiento de información sensible en texto plano y pueden ser explotadas de forma remota. Su explotación permite la ejecución de cambios en los parámetros de configuración y guardar configuraciones modificadas.

Solución: 

El fabricante recomienda actualizar la versión de firmware de los dispositivos afectados para mitigar las vulnerabilidades.

  • VMU-C EM A11_U05 para VMUC EM
  • VMU-C PV A17 para VMUC PV.
Detalle: 

Un atacante podría explotar las vulnerabilidades de forma remota. La descripción de las mismas es la siguiente:

  • Control de acceso: Un fallo en el control de acceso permite acceder a varias funciones de los productos afectados sin autenticación. Se ha reservado el identificador CVE-2017-5144 para esta vulnerabilidad.
  • Cross-Site Request Forgery (CSRF): La explotación exitosa de esta vulnerabilidad, puede permitir la ejecución de acciones no autorizadas en los dispositivos afectados. Por ejemplo, alguna de las acciones que puede ejecutarse implica un cambio de parámetros en configuraciones o guardar modificaciones de la configuración. Se ha reservado el identificador CVE-2017-5145 para esta vulnerabilidad.
  • Exposición de información: Información sensible es almacenada en texto plano. Se ha reservado el identificador CVE-2017-5146 para esta vulnerabilidad.
Etiquetas: