Inicio / Alerta Temprana / Avisos Sci / Salto de directorio en ePDU de Eaton

Salto de directorio en ePDU de Eaton

Fecha de publicación: 
27/01/2017
Importancia: 
3 - Media
Recursos afectados: 
  • EAMxxx anterior al 30 de Junio de 2015,
  • EMAxxx anterior al 31 de enero de 2014
  • EAMAxx anterior al 31 de enero de 2014
  • EMAAxx anterior al 31 de enero de 2014
  • ESWAxx anterior al 31 de enero de 2014
Descripción: 

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de salto de directorio en algunos dispositivos ePDU antiguos de Eaton. Un potencial atacante remoto no autenticado podría aprovechar esta vulnerabilidad para acceder a ficheros de configuración.

Solución: 

Los productos afectados están declarados obsoletos y no disponen de soporte desde el 30 de Junio de 2015 o el 31 de enero de 2014 dependiendo del producto. A pesar de ello, Eaton ha proporcionado una serie de instrucciones para aplicar defensa en profundidad para proteger los dispositivos que aún están en uso. Las instrucciones están accesibles en el siguiente enlace:

http://www.eaton.com/ecm/groups/public/@pub/@eaton/@corp/documents/content/pct_1603172.pdf

Detalle: 

Un potencial atacante remoto no autenticado podría tener acceso a los ficheros de configuración utilizando una URL especialmente modificada. Se ha reservado el identificador CVE-2016-9357 para esta vulnerabilidad.

Etiquetas: