Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad en productos de Schneider

Vulnerabilidad en productos de Schneider

Fecha de publicación: 
08/11/2017
Importancia: 
5 - Crítica
Recursos afectados: 
  • EcoStruxure Power Monitoring Expert versiones 7.2.x, 8.0, 8.1 y 8.2
  • EcoStruxure Building Operation –Energy Expert 1.x
Descripción: 

Schneider ha publicado un aviso de seguridad en el que detalla una vulnerabilidad de severidad crítica que afecta a varios de sus productos. La vulnerabilidad se basa en una debilidad criptográfica en el archivo “Telerik.Web.UI.dll”, cuya explotación puede revelar claves de cifrado de datos.

Solución: 

La solución más efectiva es editar un archivo llamado “web.config” localizado en el directorio “\web” (Directorio de instalación PME). En la sección “Mitigation” de este documento puede encontrar más información al respecto.

Detalle: 

Se trata de una vulnerabilidad cuya explotación puede desembocar en la revelación de algunas claves de cifrado de datos. Además, si se usan estas claves en aplicaciones web que utilizan Telerik UI para componentes de ASP.NET AJAX, pueden ser explotadas vulnerabilidades tales como:

  • “Cross-site Scripting”
  • Revelación de la clave MachineKey
  • ASP.NET ViewState comprometido
  • Descarga o subida de archivos arbitrarios

Se ha reservado el identificador CVE-2017-11357 para esta vulnerabilidad.