Múltiples vulnerabilidades en ioLogik E1200 de Moxa
Fecha de publicación:
14/10/2016
Importancia:
4 -
Alta
Recursos afectados:
- ioLogik E1210, versiones de firmware V2.4 y anteriores
- ioLogik E1211, versiones de firmware V2.3 y anteriores
- ioLogik E1212, versiones de firmware V2.4 y anteriores
- ioLogik E1213, versiones de firmware V2.5 y anteriores
- ioLogik E1214, versiones de firmware V2.4 y anteriores
- ioLogik E1240, versiones de firmware V2.3 y anteriores
- ioLogik E1241, versiones de firmware V2.4 y anteriores
- ioLogik E1242, versiones de firmware V2.4 y anteriores
- ioLogik E1260, versiones de firmware V2.4 y anteriores
- ioLogik E1262, versiones de firmware V2.4 y anteriores
Descripción:
Alexandru Ariciu de Applied Risk ha identificado varias vulnerabilidades en la serie E1200 de ioLogik perteneciente al fabricante Moxa.
Solución:
El fabricante ha desarrollado nuevas versiones de firmware dependiendo del recurso afectado para mitigar estas vulnerabilidades.
Detalle:
Las vulnerabilidades pueden explotarse de forma remota. A continuación se detalla cada una de ellas:
- Cross-Site Scripting: La aplicación web que poseen los dispositivos afectados no realiza de forma correcta el filtrado de parámetros de entrada, este hecho podría permitir a un atacante inyectar scripts o ejecutar código arbitrario. Se ha reservado el identificador CVE-2016-8359 para esta vulnerabilidad.
- Protección de credenciales insuficiente: Las contraseñas son transmitidas en un formato que no posee la suficiente seguridad. Se ha reservado el identificador CVE-2016-8372 para esta vulnerabilidad.
- Debilidad en los requisitos de contraseñas: Los usuarios están restringidos a usar contraseñas cortas. Se ha reservado el identificador CVE-2016-8379 para esta vulnerabilidad.
- Cross-Site Request Forgery: La aplicación web no verifica que las peticiones realizadas provengan por usuarios válidos. Se ha reservado el identificador CVE-2016-8350 para esta vulnerabilidad.
Referencias:
Etiquetas: