Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Rockwell Automation-en Allen-Bradley PowerMonitor-en

Argitalpen data: 2018/12/05

Garrantzia: Handia

Kaltetutako baliabideak:

  • PowerMonitor 1000

Azalpena:

Luca Chiou ikertzaileak hainbat ahultasun aurkitu ditu, sarbidearen kontrol desegokiaren eta cross-site scripting erakoak, Allen-Bradley-ren PowerMonitor 1000 produktuan. Erasotzaile batek erabiltzaile berriak sor litzake gailuan edo XSS kodea injektatu.

Konponbidea:

Ez dago konponbiderik ahultasun horietarako.

Xehetasuna:

  • Sarbidearen kontrol desegokia baliatuz urruneko erasotzaile batek proxya erabil lezake gailuaren funtzioak gaitzeko. Horrela erabiltzaile berriak sor litezke. Ahultasun horretarako CVE-2018-19616 kodea erabili da.
  • Erasotzaile batek XSS kodea injekta lezake erabiltzailearen kontuko parametro batean, datu basean gordeko litzatekeena.
Etiketak: 0day, Ahultasuna