Inicio / Content / Boletín de vulnerabilidades

Boletín de vulnerabilidades

Nuevas vulnerabilidades documentadas a los productos que usted está suscrito:

Vulnerabilidad en la interfaz web en las variantes DNP3, IEC 61850, IEC104, Modbus TCP, PROFINET IO del módulo EN100 Ethernet (CVE-2019-13943)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
19/12/2019
Descripción:
Se ha identificado una vulnerabilidad en la variante DNP3 del módulo EN100 Ethernet (todas las versiones), la variante IEC 61850 del módulo EN100 Ethernet (todas las versiones anteriores a V4.37), la variante IEC104 del módulo EN100 Ethernet (todas las versiones), la variante Modbus TCP del módulo EN100 Ethernet (todas las versiones), la variante PROFINET IO del módulo EN100 Ethernet (todas las versiones). La interfaz web podría permitir ataques de tipo Cross-Site Scripting (XSS) si un atacante puede modificar el contenido de páginas web particulares, causando que la aplicación se comporte de manera inesperada para usuarios legítimos. Una explotación con éxito no requiere que un atacante se autentique en la interfaz web. Esto podría permitir al atacante leer o modificar el contenido de la aplicación web. Al momento de la publicación del aviso no hay explotación pública de esta seguridad. La vulnerabilidad era conocida.
Vulnerabilidad en el servidor web integrado en las variantes DNP3, IEC 61850, IEC104, Modbus TCP, PROFINET IO del módulo EN100 Ethernet (CVE-2019-13944)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
19/12/2019
Descripción:
Se ha identificado una vulnerabilidad en la variante DNP3 del módulo EN100 Ethernet (todas las versiones), la variante IEC 61850 del módulo EN100 Ethernet (todas las versiones anteriores a V4.37), la variante IEC104 del módulo EN100 Ethernet (todas las versiones), la variante Modbus TCP del módulo EN100 Ethernet (todas las versiones), la variante PROFINET IO del módulo EN100 Ethernet (todas las versiones). Una vulnerabilidad en el servidor web integrado de los dispositivos afectados podría permitir a atacantes no autorizados obtener información confidencial sobre el dispositivo, incluyendo registros y configuraciones. Al momento de la publicación del aviso, no era conocida la explotación pública de esta vulnerabilidad de seguridad.
Vulnerabilidad en el menú de configuración del usuario en la interfaz web en SiNVR 3 Central Control Server (CCS) y SiNVR 3 Video Server (CVE-2019-13947)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SiNVR 3 Central Control Server (CCS) (todas las versiones), SiNVR 3 Video Server (todas las versiones). El menú de configuración del usuario en la interfaz web del SiNVR 3 Central Control Server (CCS) transfiere las contraseñas de los usuarios al cliente (navegador). Un atacante con privilegios administrativos para la interfaz web podría leer (y no solo restablecer) las contraseñas de otros usuarios de SiNVR 3 CCS.
Vulnerabilidad en el servicio SFTP en SiNVR 3 Central Control Server (CCS) y SiNVR 3 Video Server (CVE-2019-18341)
Gravedad:
MediaMedia
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SiNVR 3 Central Control Server (CCS) (todas las versiones), SiNVR 3 Video Server (todas las versiones). El servicio SFTP (puerto predeterminado 22/tcp) del SiNVR 3 Central Control Server (CCS), contiene una vulnerabilidad de omisión de autenticación. Un atacante remoto con acceso de red al servidor CCS podría explotar esta vulnerabilidad para leer datos del directorio EDIR (por ejemplo, la lista de todas las estaciones configuradas).
Vulnerabilidad en el servicio SFTP en SiNVR 3 Central Control Server (CCS) y SiNVR 3 Video Server (CVE-2019-18342)
Gravedad:
AltaAlta
Publication date: 12/12/2019
Last modified:
17/12/2019
Descripción:
Se ha identificado una vulnerabilidad en SiNVR 3 Central Control Server (CCS) (todas las versiones), SiNVR 3 Video Server (todas las versiones). El servicio SFTP (puerto predeterminado 22/tcp) del SiNVR 3 Central Control Server (CCS), no limita apropiadamente sus capacidades para el propósito especificado. Junto con CVE-2019-18341, un atacante remoto no autenticado con acceso de red al servidor CCS podría explotar esta vulnerabilidad para leer o eliminar archivos arbitrarios, o acceder a otros recursos en el mismo servidor.

Otras vulnerabilidades de los productos a los que usted está suscrito, y cuya información ha sido actualizada recientemente: