Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/02/06

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• Modbus PR100088 Gateway, R02 release-a edo 1.1.13166 software bertsioa baino lehenagoko bertsio guztiak

Azalpena:

Applied Risk-eko Nicolas Merle-k era ezberdinetako hainbat ahultasun aurkitu ditu: autentifikazio desegokia, autentifikazio gabezia funtzio kritikoetan eta sarreren egiaztapen desegokia. Erasotzaile batek zerbitzuaren ukapen egoera eragitea edo kode arbitrarioa exekutatzea lor lezake.

Konponbidea:

• Kunbusek R02 bertsiora eguneratzea gomendatzen du.

Xehetasuna:

• Erasotzaile batek admin erabiltzailearen pasahitza alda lezake azken hori sisteman aldez aurretik logeatu baldin bada. Ahultasun horretarako CVE-2019-6527 identifikatzailea erreserbatu da.
• Autentifikaziorik gabeko erasotzaile batek balioak irakurri eta idatz litzake erabiltzailearen biltegiratze erregistroetan. Ahultasun horretarako CVE-2019-6533 identifikatzailea erreserbatu da.
• Erasotzaile batek FTP eskari gaizto bat bidal lezake eta gailuan akats bat eragin. Ahultasun horretarako CVE-2019-6529 identifikatzailea erreserbatu da.