Múltiples vulnerabilidades en PowerLink2 de Visonic

Fecha de publicación:

14/12/2016

Importancia:

3 - Media

Recursos afectados:

PowerLink2, todas las versiones de firmware anteriores a octubre de 2016.

Descripción:

El investigador independiente Aditya K. Sood ha detectado varias vulnerabilidades que afectan al módulo PowerLink2 producido de Visonic. La explotación de estas vulnerabilidades permiten la recopilación de información y la descarga de imágenes del servidor.

Solución:

Visonic recomienda a los usuarios afectados las siguientes medidas mitigadoras:

Para productos con el ciclo de vida finalizado, contactar con el servicio de alarma del proveedor para reemplazar/actualizar a PowerLink3.
Para productos en producción, solicitar al servicio de alarma del proveedor para que realice una actualización remota de la unidad con el nuevo firmware de octubre de 2016.

Detalle:

Las vulnerabilidades, que pueden ser explotadas de forma remota, son:

Cross-Site Scripting: La entrada controlada por el usuario no es correctamente neutralizada antes de ser enviada a la salida de la página web. Se ha reservado el identificador CVE-2016-5811 para esta vulnerabilidad.
Exposición de información: Cuando una URL de una imagen específica es accedida, la imagen descargada lleva consigo el código fuente usado en el servidor web. Se ha reservado el identificador CVE-2016-5813 para esta vulnerabilidad.

Referencias:

Visonic PowerLink2 Vulnerabilities

Etiquetas:

Accesos corporativos

Múltiples vulnerabilidades en PowerLink2 de Visonic

Ejecución de código en Digi ConnectPort X2D Gateway

Divulgación de información en OPC UA .NET Standard Reference Server

Múltiples vulnerabilidades en Bosch BF-OS

Múltiples vulnerabilidades en productos ABB

Vulnerabilidad de denegación de servicio en productos Rockwell Automation