Control de acceso inadecuado en dispositivos xComfort de Eaton

Fecha de publicación: 
03/03/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • xComfort ECI, versiones 1.07 y anteriores.
Descripción: 

El investigador independiente Maxim Rupp ha identificado una vulnerabilidad de inadecuado control de acceso que afecta a las interfaces de comunicación Ethernet xComfort de Eaton. Un potencial atacante remoto podría acceder a los ficheros de backup y el log del sistema sin necesidad de autenticación.

Solución: 

Eaton recomienda todos los usuarios afectados actualizar a la última versión del software, que puede descargarse desde la pestaña Software Downloads dentro de la sección Documentation en el siguiente enlace: www.eaton.eu/xcomfort#tabs-11

Detalle: 

A través de una URL específica en el servidor web, un atacante remoto podría acceder a ficheros sin autenticación, accediendo de esta forma a ficheros de log y backup del dispositivo. Se ha reservado el identificador CVE-2017-9368 para esta vulnerabilidad.