Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Eaton IPM Infrastructure

Fecha de publicación 20/04/2022
Importancia
3 - Media
Recursos Afectados

Eaton Intelligent Power Manager Infrastructure (IPM Infrastructure), todas las versiones, incluida la 1.5.0plus205.

Descripción

El investigador Micheal Heinzl, a través del ICS-CERT, ha notificado a Eaton 3 vulnerabilidades: 2 de severidad media y 1 baja, que podrían permitir a un atacante realizar Cross-site Scripting (XSS) o inyección en CSV.

Solución

El ciclo de vida del producto afectado ha entrado en la fase de EOL (End Of Life). La transición a IPM Monitor Edition está en progreso.

Hasta el cambio efectivo, el fabricante recomienda aplicar las medidas de seguridad recogidas en la sección General Security Best Practices.

Detalle
  • La vulnerabilidad se debe a la insuficiente validación de la entrada de ciertos recursos por parte del software de IPM Infrastructure. El atacante necesitaría acceso a la subred local y una interacción de administrador para comprometer el sistema. Se ha asignado el identificador CVE-2021-23284 para esta vulnerabilidad media.
  • La vulnerabilidad se debe a la incorrecta sanitización de los archivos CSV importados. El atacante necesitaría acceso a la subred local y una interacción de administrador para comprometer el sistema. Se ha asignado el identificador CVE-2021-23286 para esta vulnerabilidad media.

Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2021-23285.

Encuesta valoración

Etiquetas