Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades en Pelco Sarix Professional de Schneider Electric

Fecha de publicación 28/02/2018
Importancia
5 - Crítica
Recursos Afectados
  • Pelco Sarix Professional con versión de firmware anterior a la 3.29.67.
Descripción

Se ha publicado una notificación de seguridad de Schneider Electric que contiene 12 vulnerabilidades, 4 de ellas de severidad crítica, 7 de severidad alta y 1 de severidad media, que podrían permitir a un atacante realizar múltiples ataques en los productos afectados.

Solución

Actualizar la versión del firmware a la 3.29.67, disponible en el siguiente enlace:

https://www.pelco.com/search#keyword/v3.29.67/tab/documents

Detalle

Las vulnerabilidades detectadas son de los siguientes tipos:

  • Revelación de información
  • Evasión de autenticación
  • Entidad externa XML
  • Ejecución de comandos
  • Subida de ficheros arbitrarios
  • Borrado de ficheros arbitrarios
  • Desbordamiento de búfer

Se han reservado los siguientes identificadores para las citadas vulnerabilidades: CVE-2018-7227, CVE-2018-7228, CVE-2018-7229, CVE-2018-7230, CVE-2018-7231, CVE-2018-7232, CVE-2018-7233, CVE-2018-7234, CVE-2018-7235, CVE-2018-7236, CVE-2018-7237 y CVE-2018-7238.

Encuesta valoración

Listado de referencias
Security Notification – Pelco Sarix Professional
Etiquetas