Múltiples vulnerabilidades en CirCarLife de Circontrol
Fecha de publicación 02/11/2018
Importancia
5 - Crítica
Recursos Afectados
- CirCarLife todas las versiones anteriores a 4.3.1
Descripción
Ankit Anubhav de NewSky Security, M. Can Kurnaz de KMPG Holanda, Alim Solmaz de Atos, Michael Jonh de WePower Network y Gyorgy Miru de Verint han reportado estas vulnerabilidades de tipo evasión de autenticación y credenciales insuficientemente protegidas. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto obtener credenciales almacenadas en texto plano, evadir la autenticación así como ver y acceder a información crítica.
Solución
Circontrol ha publicado una nueva versión de software que soluciona estas vulnerabilidades, disponible en el siguiente enlace:
Detalle
- Evasión de autenticación: La autenticación en el dispositivo puede ser evitada introduciendo una URL de un sitio específico. Se ha reservado el identificador CVE-2018-17918 para esta vulnerabilidad.
- Credenciales insuficientemente protegidas: Las credenciales PAP del dispositivo son almacenadas en texto plano dentro de un fichero de log que es accesible sin autenticación. Se ha reservado el identificador CVE-2018-17922 para esta vulnerabilidad.
Listado de referencias
Etiquetas