Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades en Intelligent Power Manager de Eaton

Fecha de publicación 11/05/2020
Importancia
4 - Alta
Recursos Afectados

Intelligent Power Manager (IPM), versión 1.67 y anteriores.

Descripción

Sivathmican Sivakumaran, de Trend Micro ZDI, ha reportado a Eaton dos vulnerabilidades de severidad alta del tipo validación incorrecta de parámetros de entrada, y asignación incorrecta de privilegios.

Solución

Actualizar Intelligent Power Manager (IPM), a la versión 1.68 o posterior.

Detalle
  • IPM no valida adecuadamente los nombres de los archivos de configuración que han sido importados. Un atacante remoto podría inyectar comandos, o ejecutar código arbitrario en el sistema, mediante el envío de archivos específicamente creados. Se ha asignado el identificador CVE-2020-6651 para esta vulnerabilidad.
  • IPM permite el envío de archivos de configuración a usuarios sin permisos de administrador. Un atacante local podría manipular las configuraciones del sistema al enviar archivos de configuración con parámetros incorrectos. Se ha asignado el identificador CVE-2020-6652 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Eaton Vulnerability Advisory ETN-VA-2020-1004: Multiple Security Vulnerabilities v1.1
ICS Advisory (ICSA-20-133-01) Eaton Intelligent Power Manager
Etiquetas