Vulnerabilidad en Schneider Electric Tableau Server/Desktop en Wonderware Intelligence (CVE-2017-5178)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/03/2017
Última modificación:
20/04/2025
Descripción
Se ha descubierto un problema en Schneider Electric Tableau Server/Desktop Versions 7.0 a 10.1.3 en Wonderware Intelligence Versions 2014R3 y anteriores. Estas versiones contienen una cuenta de sistema que se instala por defecto. La cuenta de sistema por defecto es dificil de configurar sin credenciales por defecto tras la instalacción, y cambiar las credenciales por defecto en el Tableau Server incrustado no está documentado. Si Tableau Server se usa con la seguridad integrada de Windows (Active Directory), el software no es vulnerable. Sin embargo, cuando se utiliza Tableau Server con el modo de autenticación local, el software es vulnerable. La cuenta de sistema por defecto puede ser usada para obtener acceso no autorizado.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:schneider-electric:tableau_desktop:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:tableau_desktop:10.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:tableau_server:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:tableau_server:10.1.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:schneider-electric:wonderware_intelligence:*:r3:*:*:*:*:*:* | 2014 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000119/
- http://www.securityfocus.com/bid/96721
- https://ics-cert.us-cert.gov/advisories/ICSA-17-066-01
- http://software.schneider-electric.com/pdf/security-bulletin/lfsec00000119/
- http://www.securityfocus.com/bid/96721
- https://ics-cert.us-cert.gov/advisories/ICSA-17-066-01