Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en OmniView de OmniMetrix

Múltiples vulnerabilidades en OmniView de OmniMetrix

Fecha de publicación: 
16/12/2016
Importancia: 
4 - Alta
Recursos afectados: 
  • OmniView, versión 1.2
Descripción: 

Bill Voltmer de Elation Technologies LLC ha identificado dos vulnerabilidades en la aplicación web OmniView de OmniMetrix. Una vulnerabilidad relacionada con la transmisión de información de forma insegura y la segunda vulnerabilidad está relacionada con requerimientos insuficientes en las contraseñas cuya explotación permitiría alterar la operación de los generadores de reserva conectados a la cuenta comprometida.

Solución: 

El fabricante ha desarrollado una nueva versión de software para mitigar las vulnerabilidades que afectan a la aplicación web. Esta nueva versión incluye el protocolo HTTPS y requerimientos para utilizar contraseñas seguras.

Detalle: 

Las vulnerabilidades que se describen a continuación pueden ser explotadas de forma remota.

  • Transmisión de información sensible en texto plano: La aplicación web OmniView transmite credenciales gracias al protocolo HTTP. Un potencial atacante remoto que capture información de la red podría comprometer las credenciales de acceso. Se ha reservado el identificador CVE-2016-5786 para esta vulnerabilidad.
  • Requerimiento de contraseñas débil: Los requerimientos de la contraseña del producto afectado son insuficientes, pudendo permitir que un atacante obtenga acceso mediante fuerza bruta a dichas contraseñas de los usuarios. Se ha reservado el identificador CVE-2016-5801 para esta vulnerabilidad.