Vulnerabilidad en Sinapsi eSolar Light Photovoltaic System Monitor (CVE-2012-5862)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-259
Contraseñas embebidas en el software
Fecha de publicación:
23/11/2012
Última modificación:
08/07/2025
Descripción
login.php en el Sinapsi eSolar Light Photovoltaic System Monitor (también conocido como servidor de gestión Schneider Electric Ezylog photovoltaic SCADA), Sinapsi eSolar, y Sinapsi eSolar DUO con firmware anterior a v2.0.2870_2.2.12 establece múltiples cuentas grabadas en memoria, lo que hace fácil a atacantes remotos obtener acceso administrativo mediante (1) la obtención de contraseñas en texto plano o (2) el hash de la contraseña en este script, como se demostró por una contraseña de astridservice o 36e44c9b64.
Impacto
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:sinapsitech:sinapsi_firmware:*:*:*:*:*:*:*:* | 2.0.2870 (incluyendo) | |
| cpe:2.3:h:sinapsitech:esolar_duo_photovoltaic_system_monitor:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:sinapsitech:esolar_light_photovoltaic_system_monitor:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:sinapsitech:esolar_photovoltaic_system_monitor:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://archives.neohapsis.com/archives/bugtraq/2012-09/0045.html
- http://www.exploit-db.com/exploits/21273/
- http://www.sinapsitech.it/default.asp?active_page_id=78&news_id=88
- https://exchange.xforce.ibmcloud.com/vulnerabilities/80200
- https://www.cisa.gov/news-events/ics-advisories/icsa-12-325-01
- http://archives.neohapsis.com/archives/bugtraq/2012-09/0045.html
- http://www.exploit-db.com/exploits/21273/
- http://www.sinapsitech.it/default.asp?active_page_id=78&news_id=88
- http://www.us-cert.gov/control_systems/pdf/ICSA-12-325-01.pdf
- https://exchange.xforce.ibmcloud.com/vulnerabilities/80200