Argitalpen data: 2019/12/18
Garrantzia: Ertaina
Kaltetutako baliabideak:
GE S2020/S2020G Fast Switch 61850, 07A03 eta lehenagoko bertsioak.
Azalpena:
Biznet Bilisim A.S.-ko Murat Aydemir-ek GEren gailuei eragiten dien ahultasun baten berri eman du. Urruneko erasotzaile batek kode arbitrarioa injekta lezake edo datu konfidentzialak hedatzea ahalbidetu.
Konponbidea:
GEk gomendatzen du gailuak 07A04 bertsiora edo berriago batera eguneratzea.
Xehetasuna:
Urruneko erasotzaile batek Javascript kode arbitrarioa injekta lezake bereziki diseinatutako HTTP pakete batean, eta hori islatu egingo litzateke HTTPren erantzunean. Gailua ahula da, era berean, biltegiratutako Cross-Site Scripting (XSS) erasoen aurrean. Hori baliatuz, urruneko erasotzaile batek saioa bahitu lezake, datu sentikorrak agerian utzi, Cross-Site Request Forgery (CSRF) eragin edo kodea urrunetik exekutatu. Ahultasun horretarako CVE-2019-18267 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, Ahultasuna