Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en los archivos gurux.fi/obis/files.xml y gurux.fi/updates/updates.xml en una conexión HTTP en Gurux GXDLMS Director (CVE-2020-8809)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/02/2020
Última modificación:
27/02/2020

Descripción

Gurux GXDLMS Director versiones anteriores a 8.5.1905.1301, descarga actualizaciones para add-ins y código OBIS por medio de una conexión HTTP sin cifrar. Un atacante de tipo man-in-the-middle puede solicitar al usuario que descargue actualizaciones modificando el contenido de los archivos gurux.fi/obis/files.xml y gurux.fi/updates/updates.xml. Luego, el atacante puede modificar el contenido de los archivos descargados. En el caso de add-ins (si el usuario los está utilizando), esto conllevará a una ejecución de código. En el caso de los códigos OBIS (que el usuario siempre usa, ya que son necesarios para comunicarse con los medidores de energía), esto puede conllevar a una ejecución de código cuando se combina con CVE-2020-8810.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:gurux:device_language_message_specification_director:*:*:*:*:*:*:*:* 8.5.1905.1301 (excluyendo)