Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en SmartGrid Sensor Management System de Tollgrade

Múltiples vulnerabilidades en SmartGrid Sensor Management System de Tollgrade

Fecha de publicación: 
10/02/2016
Importancia: 
4 - Alta
Recursos afectados: 

Los productos afectados son los siguientes:

  • LightHouse SMS versión 4.1.0 Build 16
  • LightHouse SMS versiones anteriores a la 5.1
Descripción: 

El investigador independiente Maxim Rupp ha identificado varias vulnerabilidades en el software para EMS SmartGrid LightHouse Sensor Management System (SMS) de Tollgrade Communications, Inc.

Solución: 

Tollgrade Communications, Inc. ha publicado una nueva versión del software que resuelve las vulnerabilidades. Los clientes deben ponerse en contacto con Tollgrade Communications, Inc. para obtener el soporte necesario.

Detalle: 

Las vulnerabilidades identificadas son las siguientes:

  • Cross-site Request Forgery (CSRF): Las versiones afectadas no disponen de protección para CSRF, permitiendo a un potencial atacante realizar acciones mediante la conexión autenticada de otro usuario. Se ha reservado el identificador CVE-2016-0863 para esta vulnerabilidad.
  • Publicación de información: Usuarios no identificados pueden acceder a los dispositivos afectados y obtener información sensible como informes o nombres de usuarios. Se ha reservado el identificador CVE-2016-0864 para esta vulnerabilidad.
  • Credenciales inseguras: Un usuario autenticado con permisos limitados puede cambiar la contraseña de otro usuario, pudiendo acceder al sistema con esa otra cuenta. Se ha reservado el identificador CVE-2016-0865 para esta vulnerabilidad.<
  • Cross-site Scripting (XSS): El software afectado permite modificar la URL de forma dinámica permitiendo a un potencial atacante redirigir las conexiones a un sitio malicioso, secuestrar la sesión, realizar reconocimientos de red o usar programas que habilitan puertas traseras. Se ha reservado el identificador CVE-2016-0866 para esta vulnerabilidad.
Etiquetas: