Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en PowerLink2 de Visonic

Múltiples vulnerabilidades en PowerLink2 de Visonic

Fecha de publicación: 
14/12/2016
Importancia: 
3 - Media
Recursos afectados: 
  • PowerLink2, todas las versiones de firmware anteriores a octubre de 2016.
Descripción: 

El investigador independiente Aditya K. Sood ha detectado varias vulnerabilidades que afectan al módulo PowerLink2 producido de Visonic. La explotación de estas vulnerabilidades permiten la recopilación de información y la descarga de imágenes del servidor. 

Solución: 

Visonic recomienda a los usuarios afectados las siguientes medidas mitigadoras:

  • Para productos con el ciclo de vida finalizado, contactar con el servicio de alarma del proveedor para reemplazar/actualizar a PowerLink3.
  • Para productos en producción, solicitar al servicio de alarma del proveedor para que realice una actualización remota de la unidad con el nuevo firmware de octubre de 2016.
Detalle: 

Las vulnerabilidades, que pueden ser explotadas de forma remota, son:

  • Cross-Site Scripting: La entrada controlada por el usuario no es correctamente neutralizada antes de ser enviada a la salida de la página web. Se ha reservado el identificador CVE-2016-5811 para esta vulnerabilidad.
  • Exposición de información: Cuando una URL de una imagen específica es accedida, la imagen descargada lleva consigo el código fuente usado en el servidor web. Se ha reservado el identificador CVE-2016-5813 para esta vulnerabilidad.