Múltiples vulnerabilidades en PowerLink2 de Visonic

Fecha de publicación:

14/12/2016

Importancia:

3 - Media

Recursos afectados:

PowerLink2, todas las versiones de firmware anteriores a octubre de 2016.

Descripción:

El investigador independiente Aditya K. Sood ha detectado varias vulnerabilidades que afectan al módulo PowerLink2 producido de Visonic. La explotación de estas vulnerabilidades permiten la recopilación de información y la descarga de imágenes del servidor.

Solución:

Visonic recomienda a los usuarios afectados las siguientes medidas mitigadoras:

Para productos con el ciclo de vida finalizado, contactar con el servicio de alarma del proveedor para reemplazar/actualizar a PowerLink3.
Para productos en producción, solicitar al servicio de alarma del proveedor para que realice una actualización remota de la unidad con el nuevo firmware de octubre de 2016.

Detalle:

Las vulnerabilidades, que pueden ser explotadas de forma remota, son:

Cross-Site Scripting: La entrada controlada por el usuario no es correctamente neutralizada antes de ser enviada a la salida de la página web. Se ha reservado el identificador CVE-2016-5811 para esta vulnerabilidad.
Exposición de información: Cuando una URL de una imagen específica es accedida, la imagen descargada lleva consigo el código fuente usado en el servidor web. Se ha reservado el identificador CVE-2016-5813 para esta vulnerabilidad.

Referencias:

Visonic PowerLink2 Vulnerabilities

Etiquetas:

Accesos corporativos

Múltiples vulnerabilidades en PowerLink2 de Visonic

Vulnerabilidad de inyección SQL en Primion-Digitek Secure 8

Vulnerabilidad en OPC-UA C++ SDK de Softing

Múltiples vulnerabilidades en Advantech WebAccess/SCADA

Divulgación de información en OpENer EtherNet/IP de EIPStackGroup

Comunicaciones en texto claro en P2P SDK de ThroughTek