Múltiples vulnerabilidades en PowerLink2 de Visonic

Fecha de publicación:

14/12/2016

Importancia:

3 - Media

Recursos afectados:

PowerLink2, todas las versiones de firmware anteriores a octubre de 2016.

Descripción:

El investigador independiente Aditya K. Sood ha detectado varias vulnerabilidades que afectan al módulo PowerLink2 producido de Visonic. La explotación de estas vulnerabilidades permiten la recopilación de información y la descarga de imágenes del servidor.

Solución:

Visonic recomienda a los usuarios afectados las siguientes medidas mitigadoras:

Para productos con el ciclo de vida finalizado, contactar con el servicio de alarma del proveedor para reemplazar/actualizar a PowerLink3.
Para productos en producción, solicitar al servicio de alarma del proveedor para que realice una actualización remota de la unidad con el nuevo firmware de octubre de 2016.

Detalle:

Las vulnerabilidades, que pueden ser explotadas de forma remota, son:

Cross-Site Scripting: La entrada controlada por el usuario no es correctamente neutralizada antes de ser enviada a la salida de la página web. Se ha reservado el identificador CVE-2016-5811 para esta vulnerabilidad.
Exposición de información: Cuando una URL de una imagen específica es accedida, la imagen descargada lleva consigo el código fuente usado en el servidor web. Se ha reservado el identificador CVE-2016-5813 para esta vulnerabilidad.

Referencias:

Visonic PowerLink2 Vulnerabilities

Etiquetas:

Accesos corporativos

Múltiples vulnerabilidades en PowerLink2 de Visonic

Credenciales protegidas inapropiadamente en las impresoras industriales de Zebra

Múltiples vulnerabilidades en ProSyst mBS SDK y IoT Gateway Software de Bosch

Múltiples vulnerabilidades en los sistemas Metasys building automation de Johnson Controls

Desbordamiento de búfer en Alpha5 Smart Loader de Fuji Electric

Múltiples vulnerabilidades en productos Schneider Electric