Múltiples vulnerabilidades en cámaras Pelco Sarix Pro de Schneider Electric
Fecha de publicación
26/04/2018
Importancia
4 - Alta
Recursos Afectados
- Primera generación de Pelco Sarix Pro con firmware versión anterior a la 3.29.69
Descripción
El investigador Giri Veeraraghavan Veda de Gulf Business Machines y el grupo Weapon x, han informado a Schneider Electric de 3 vulnerabilidades de severidad alta de los siguientes tipos: desbordamiento de búfer, escalada de privilegios y divulgación de información que afectan a sus cámaras Pelco Sarix Pro. Un potencial atacante autenticado podría llegar a obtener contraseñas de usuarios, provocar una denegación de servicio o realizar un desbordamiento de búfer.
Solución
Schneider Electric ha publicado la versión 3.29.69 del firmware que soluciona estas vulnerabilidades que puede descargarse desde:
Detalle
Las vulnerabilidades identificadas son las siguientes:
- Desbordamiento de búfer: Existe un desbordamiento de búfer en el programa “set” del cgi. Se ha reservado el identificador CVE-2018-7780 para esta vulnerabilidad.
- Divulgación de contraseñas y escalada de privilegios: Un potencial atacante autenticado podría enviar peticiones especialmente manipuladas y podría ver las contraseñas en claro, desembocando en una escalada de privilegios. Se ha reservado el identificador CVE-2018-7781 para esta vulnerabilidad.
- Divulgación de contraseñas: Un potencial atacante autenticado podría ver las contraseñas en claro. Se ha reservado el identificador CVE-2018-7782 para esta vulnerabilidad.
Listado de referencias
Etiquetas