Home / Node / Boletín de INCIBE-CERT del 18-12-2019

Boletín de INCIBE-CERT del 18-12-2019

Ruta de búsqueda no controlada en SPRECON-V460 de Sprecher Automation

Publication date: 
12/18/2019
Importance: 
4 - Alta
Affected resources: 

SPRECON-V460.

Description: 

Se ha reportado una vulnerabilidad que afecta al dispositivo SPRECON-V460 de Sprecher Automation. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante cargar DLL maliciosas y ejecutar código.

Solution: 

Sprecher Automation recomienda actualizar los dispositivos desde la versión 7.50 y recomienda no ejecutar los ficheros .wp6 por defecto desde el editor de SPRECON-V460.

Detail: 

Un atacante podría provocar que el dispositivo cargue archivos DLL maliciosos desde un directorio donde no se necesitan privilegios de administrador para modificar ficheros y ejecutar código. Dicha vulnerabilidad se produce cuando SPRECON-V460 abre el fichero .wsp6 desde dicha ruta. Se ha asignado el identificador CVE-2019-15638 para esta vulnerabilidad.

Encuesta valoración

Cross-site Scripting en Fast Switch 61850 de GE

Publication date: 
12/18/2019
Importance: 
3 - Media
Affected resources: 

GE S2020/S2020G Fast Switch 61850 versión 07A03 y anteriores.

Description: 

Murat Aydemir, de Biznet Bilisim A.S., ha reportado una vulnerabilidad que afecta a dispositivos de GE. Un atacante remoto podría inyectar código arbitrario o permitir la divulgación datos confidenciales.

Solution: 

GE recomienda actualizar los dispositivos a la versión 07A04 o posterior.

Detail: 

Un atacante remoto podría inyectar código Javascript arbitrario en un paquete HTTP, específicamente modificado, que se vería reflejado en la respuesta del HTTP. El dispositivo también es vulnerable a ataques de Cross-Site Scripting (XSS) almacenado que podría permitir a un atacante remoto el secuestro de sesión, la exposición de datos sensibles, Cross-Site Request Forgery (CSRF) o la ejecución remota de código. Se ha reservado el identificador CVE-2019-18267 para esta vulnerabilidad.

Encuesta valoración