Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en ioLogik E1200 de Moxa

Múltiples vulnerabilidades en ioLogik E1200 de Moxa

Fecha de publicación: 
14/10/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • ioLogik E1210, versiones de firmware V2.4 y anteriores
  • ioLogik E1211, versiones de firmware V2.3 y anteriores
  • ioLogik E1212, versiones de firmware V2.4 y anteriores
  • ioLogik E1213, versiones de firmware V2.5 y anteriores
  • ioLogik E1214, versiones de firmware V2.4 y anteriores
  • ioLogik E1240, versiones de firmware V2.3 y anteriores
  • ioLogik E1241, versiones de firmware V2.4 y anteriores
  • ioLogik E1242, versiones de firmware V2.4 y anteriores
  • ioLogik E1260, versiones de firmware V2.4 y anteriores
  • ioLogik E1262, versiones de firmware V2.4 y anteriores
Descripción: 

Alexandru Ariciu de Applied Risk ha identificado varias vulnerabilidades en la serie E1200 de ioLogik perteneciente al fabricante Moxa.

Solución: 

El fabricante ha desarrollado nuevas versiones de firmware dependiendo del recurso afectado para mitigar estas vulnerabilidades.

Detalle: 

Las vulnerabilidades pueden explotarse de forma remota. A continuación se detalla cada una de ellas:

  • Cross-Site Scripting: La aplicación web que poseen los dispositivos afectados no realiza de forma correcta el filtrado de parámetros de entrada, este hecho podría permitir a un atacante inyectar scripts o ejecutar código arbitrario. Se ha reservado el identificador CVE-2016-8359 para esta vulnerabilidad.
  • Protección de credenciales insuficiente: Las contraseñas son transmitidas en un formato que no posee la suficiente seguridad. Se ha reservado el identificador CVE-2016-8372 para esta vulnerabilidad.
  • Debilidad en los requisitos de contraseñas: Los usuarios están restringidos a usar contraseñas cortas. Se ha reservado el identificador CVE-2016-8379 para esta vulnerabilidad.
  • Cross-Site Request Forgery: La aplicación web no verifica que las peticiones realizadas provengan por usuarios válidos. Se ha reservado el identificador CVE-2016-8350 para esta vulnerabilidad.
Etiquetas: