Múltiples vulnerabilidades en PowerLink2 de Visonic

Fecha de publicación:

14/12/2016

Importancia:

3 - Media

Recursos afectados:

PowerLink2, todas las versiones de firmware anteriores a octubre de 2016.

Descripción:

El investigador independiente Aditya K. Sood ha detectado varias vulnerabilidades que afectan al módulo PowerLink2 producido de Visonic. La explotación de estas vulnerabilidades permiten la recopilación de información y la descarga de imágenes del servidor.

Solución:

Visonic recomienda a los usuarios afectados las siguientes medidas mitigadoras:

Para productos con el ciclo de vida finalizado, contactar con el servicio de alarma del proveedor para reemplazar/actualizar a PowerLink3.
Para productos en producción, solicitar al servicio de alarma del proveedor para que realice una actualización remota de la unidad con el nuevo firmware de octubre de 2016.

Detalle:

Las vulnerabilidades, que pueden ser explotadas de forma remota, son:

Cross-Site Scripting: La entrada controlada por el usuario no es correctamente neutralizada antes de ser enviada a la salida de la página web. Se ha reservado el identificador CVE-2016-5811 para esta vulnerabilidad.
Exposición de información: Cuando una URL de una imagen específica es accedida, la imagen descargada lleva consigo el código fuente usado en el servidor web. Se ha reservado el identificador CVE-2016-5813 para esta vulnerabilidad.

Referencias:

Visonic PowerLink2 Vulnerabilities

Etiquetas:

Accesos corporativos

Múltiples vulnerabilidades en PowerLink2 de Visonic

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Múltiples vulnerabilidades en productos MGate y MXview de Moxa

Evasión de autenticación en controladores KT-1 de Johnson Controls

Múltiples vulnerabilidades en productos Schneider Electric

Autenticación incorrecta en PortServer TS 16 de Digi International