Vulnerabilidad en productos Echelon (CVE-2018-8859)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
24/07/2018
Última modificación:
09/10/2019
Descripción
Echelon SmartServer 1 en todas las versiones, SmartServer 2 en todas las versiones anteriores a 4.11.007, i.LON 100 en todas las versiones y i.LON 600 en todas las versiones. Un atacante puede omitir la autenticación requerida especificada en el archivo de configuración de seguridad incluyendo caracteres urgentes en el nombre de directorio al especificar el directorio al que ser va a acceder. Esta vulnerabilidad no afecta al producto i.LON 600.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:echelon:smartserver_1_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:echelon:smartserver_1:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:echelon:smartserver_2_firmware:*:*:*:*:*:*:*:* | 4.11.007 (excluyendo) | |
| cpe:2.3:h:echelon:smartserver_2:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:echelon:i.lon_100_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:echelon:i.lon_100:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:echelon:i.lon_600_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:echelon:i.lon_600:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página