Argitalpen data: 2019/12/18

Garrantzia: Ertaina

Kaltetutako baliabideak:

GE S2020/S2020G Fast Switch 61850, 07A03 eta lehenagoko bertsioak.

Azalpena:

Biznet Bilisim A.S.-ko Murat Aydemir-ek GEren gailuei eragiten dien ahultasun baten berri eman du. Urruneko erasotzaile batek kode arbitrarioa injekta lezake edo datu konfidentzialak hedatzea ahalbidetu.

Konponbidea:

GEk gomendatzen du gailuak 07A04 bertsiora edo berriago batera eguneratzea.

Xehetasuna:

Urruneko erasotzaile batek Javascript kode arbitrarioa injekta lezake bereziki diseinatutako HTTP pakete batean, eta hori islatu egingo litzateke HTTPren erantzunean. Gailua ahula da, era berean, biltegiratutako Cross-Site Scripting (XSS) erasoen aurrean. Hori baliatuz, urruneko erasotzaile batek saioa bahitu lezake, datu sentikorrak agerian utzi, Cross-Site Request Forgery (CSRF) eragin edo kodea urrunetik exekutatu. Ahultasun horretarako CVE-2019-18267 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna