Múltiples vulnerabilidades en PowerLink2 de Visonic
Fecha de publicación:
14/12/2016
Importancia:
3 -
Media
Recursos afectados:
- PowerLink2, todas las versiones de firmware anteriores a octubre de 2016.
Descripción:
El investigador independiente Aditya K. Sood ha detectado varias vulnerabilidades que afectan al módulo PowerLink2 producido de Visonic. La explotación de estas vulnerabilidades permiten la recopilación de información y la descarga de imágenes del servidor.
Solución:
Visonic recomienda a los usuarios afectados las siguientes medidas mitigadoras:
- Para productos con el ciclo de vida finalizado, contactar con el servicio de alarma del proveedor para reemplazar/actualizar a PowerLink3.
- Para productos en producción, solicitar al servicio de alarma del proveedor para que realice una actualización remota de la unidad con el nuevo firmware de octubre de 2016.
Detalle:
Las vulnerabilidades, que pueden ser explotadas de forma remota, son:
- Cross-Site Scripting: La entrada controlada por el usuario no es correctamente neutralizada antes de ser enviada a la salida de la página web. Se ha reservado el identificador CVE-2016-5811 para esta vulnerabilidad.
- Exposición de información: Cuando una URL de una imagen específica es accedida, la imagen descargada lleva consigo el código fuente usado en el servidor web. Se ha reservado el identificador CVE-2016-5813 para esta vulnerabilidad.
Referencias:
Etiquetas: