Múltiples vulnerabilidades en MDS PulseNET de GE
- MDS PulseNET versión 3.2.1 y anteriores
- MDS PulseNET Enterprise versión 3.2.1 y anteriores
El investigador rgod ha reportado varias vulnerabilidades a Zero Day Initiative (ZDI) de tipo autenticación incorrecta, restricción inadecuada de referencia XML de entidad externa y ruta transversal relativa que afectan a MDS PulseNET y MDS PulseNET Enterprise de GE. Un potencial atacante podría conseguir una elevación de privilegios o exfiltración de información mediante estas vulnerabilidades.
GE ha modificado el software y la arquitectura del producto PulseNET. La última versión soluciona estas vulnerabilidades. GE anima a sus usuarios a actualizar PulseNET a la versión 4.1 o posterior para eliminar estas vulnerabilidades.
Las actualizaciones disponibles para PulseNET están disponibles en:
http://www.gegridsolutions.com/Communications/MDS/PulseNET_Download.aspx
Las actualizaciones disponibles para PulseNET Enterprise están disponibles en:
http://www.gegridsolutions.com/Communications/MDS/PulseNETEnt_Download.aspx
- Autenticación incorrecta: un potencial atacante no autorizado podría aprovechar el puerto de entrada de Java Remote Proper Invocation (RMI) para lanzar aplicaciones y dar soporte a la ejecución de código remoto a través de servicios Web. Se ha asignado el identificador CVE-2018-10611 para esta vulnerabilidad.
- Restricción inadecuada de referencia XML de entidad externa: un potencial atacante podría utilizar múltiples variantes de ataques XML External Entity (XXE) para exfiltrar datos de la plataforma Windows. Se ha asignado el identificador CVE-2018-10613 a esta vulnerabilidad.
- Salto de ruta relativa: un potencial atacante podría aprovechar un salto de directorio para producir una exfiltración o borrado de ficheros en la plataforma. Se ha asignado el identificador CVE-2018-10615 a esta vulnerabilidad.