Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en el panel táctil LVIS-3ME de LOYTEC

Múltiples vulnerabilidades en el panel táctil LVIS-3ME de LOYTEC

Fecha de publicación: 
15/09/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • LVIS-3ME versiones anteriores a 6.2.0
Descripción: 

El investigador Davy Douhine de la empresa RandoriSec ha reportado varias vulnerabilidades: salto de directorio, entropía insuficiente, XSS y protección insuficiente de credenciales en paneles táctiles HMI LVIS-3ME de LOYTEC. La explotación exitosa de estas vulnerabilidades podría permitir la exposición de información o la ejecución arbitraria de código.

Solución: 

LOYTEC recomienda a los usuarios que actualicen a la última versión de firmware disponible en la siguiente ubicación: https://www.loytec.com/support/download/

Detalle: 
  • Salto de directorio: la interfaz web de usuario falla a la hora de prevenir el acceso a archivos críticos a los que usuarios sin permiso de administración no deberían tener acceso. Un atacante puede llegar a crear o modificar archivos, además de ejecutar código arbitrario en el sistema.
  • Entropía insuficiente: la aplicación no utiliza una generación de números suficientemente aleatoria para el mecanismo de autenticación de la interfaz web, lo que podría permitir la ejecución remota de código.
  • XSS: comprobación inadecuada de la entrada durante la generación de una página web. Una validación insuficiente de peticiones web en la interfaz web puede permitir a un atacante engañar a un usuario autenticado para que haga clic en un enlace malicioso.
  • Credenciales desprotegidas: la aplicación no protege correctamente información sensible de accesos no autorizados.