Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en WEB'log de Meteocontrol

Múltiples vulnerabilidades en WEB'log de Meteocontrol

Fecha de publicación: 
13/05/2016
Importancia: 
5 - Crítica
Recursos afectados: 

Los productos afectados son los siguientes:

  • Basic 100, todas las versiones
  • Light todas las versiones
  • Pro todas las versiones
  • Pro Unlimited todas las versiones
Descripción: 

El investigador independiente Karn Ganeshen ha identificado varias vulnerabilidades que afectan a la aplicación WEB’log de Meteocontrol.

Solución: 

Meteocontrol ha publicado una nueva versión de la aplicación que corrige las vulnerabilidades. Además, recomienda instalar el WEB’log detrás de un cortafuegos.

Detalle: 

Las vulnerabilidades que afectan a la aplicación son:

  • Exposición de información: Las páginas accesibles después del login como administrador son accesibles sin autenticación. Se ha reservado el identificador CVE-2016-2296 para esta vulnerabilidad.
  • Falta de autenticación: Existe una acceso a una interfaz de comandos que permite ejecutar comandos del sistema sin necesidad de autenticación. Se ha reservado el identificador CVE-2016-2297 para esta vulnerabilidad.
  • Exposición de información sensible: La información es almacenada en texto en claro. Se ha reservado el identificador CVE-2016-2298 para esta vulnerabilidad.