Múltiples vulnerabilidades en Eaton IPM Infrastructure
Fecha de publicación 20/04/2022
Importancia
3 - Media
Recursos Afectados
Eaton Intelligent Power Manager Infrastructure (IPM Infrastructure), todas las versiones, incluida la 1.5.0plus205.
Descripción
El investigador Micheal Heinzl, a través del ICS-CERT, ha notificado a Eaton 3 vulnerabilidades: 2 de severidad media y 1 baja, que podrían permitir a un atacante realizar Cross-site Scripting (XSS) o inyección en CSV.
Solución
El ciclo de vida del producto afectado ha entrado en la fase de EOL (End Of Life). La transición a IPM Monitor Edition está en progreso.
Hasta el cambio efectivo, el fabricante recomienda aplicar las medidas de seguridad recogidas en la sección General Security Best Practices.
Detalle
- La vulnerabilidad se debe a la insuficiente validación de la entrada de ciertos recursos por parte del software de IPM Infrastructure. El atacante necesitaría acceso a la subred local y una interacción de administrador para comprometer el sistema. Se ha asignado el identificador CVE-2021-23284 para esta vulnerabilidad media.
- La vulnerabilidad se debe a la incorrecta sanitización de los archivos CSV importados. El atacante necesitaría acceso a la subred local y una interacción de administrador para comprometer el sistema. Se ha asignado el identificador CVE-2021-23286 para esta vulnerabilidad media.
Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2021-23285.
Listado de referencias
Etiquetas