Inicio / Content / Boletín de INCIBE-CERT del 18-12-2019

Boletín de INCIBE-CERT del 18-12-2019

Ruta de búsqueda no controlada en SPRECON-V460 de Sprecher Automation

Fecha de publicación: 
18/12/2019
Importancia: 
4 - Alta
Recursos afectados: 

SPRECON-V460.

Descripción: 

Se ha reportado una vulnerabilidad que afecta al dispositivo SPRECON-V460 de Sprecher Automation. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante cargar DLL maliciosas y ejecutar código.

Solución: 

Sprecher Automation recomienda actualizar los dispositivos desde la versión 7.50 y recomienda no ejecutar los ficheros .wp6 por defecto desde el editor de SPRECON-V460.

Detalle: 

Un atacante podría provocar que el dispositivo cargue archivos DLL maliciosos desde un directorio donde no se necesitan privilegios de administrador para modificar ficheros y ejecutar código. Dicha vulnerabilidad se produce cuando SPRECON-V460 abre el fichero .wsp6 desde dicha ruta. Se ha asignado el identificador CVE-2019-15638 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
SPRECON-V460 Editor: Uncontrolled Search Path Vulnerability
Etiquetas: 
Actualización
Vulnerabilidad

Cross-site Scripting en Fast Switch 61850 de GE

Fecha de publicación: 
18/12/2019
Importancia: 
3 - Media
Recursos afectados: 

GE S2020/S2020G Fast Switch 61850 versión 07A03 y anteriores.

Descripción: 

Murat Aydemir, de Biznet Bilisim A.S., ha reportado una vulnerabilidad que afecta a dispositivos de GE. Un atacante remoto podría inyectar código arbitrario o permitir la divulgación datos confidenciales.

Solución: 

GE recomienda actualizar los dispositivos a la versión 07A04 o posterior.

Detalle: 

Un atacante remoto podría inyectar código Javascript arbitrario en un paquete HTTP, específicamente modificado, que se vería reflejado en la respuesta del HTTP. El dispositivo también es vulnerable a ataques de Cross-Site Scripting (XSS) almacenado que podría permitir a un atacante remoto el secuestro de sesión, la exposición de datos sensibles, Cross-Site Request Forgery (CSRF) o la ejecución remota de código. Se ha reservado el identificador CVE-2019-18267 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-19-351-01) GE S2020/S2020G Fast Switch 61850
Etiquetas: 
Actualización
Vulnerabilidad