Múltiples vulnerabilidades en Pelco VideoXpert Enterprise

Fecha de publicación: 
07/12/2017
Importancia: 
4 - Alta
Recursos afectados: 

Pelco VideoXpert Enterprise anteriores a V2.1

Descripción: 

Schneider Electric ha informado de varias vulnerabilidades en Pelco VideoXpert Enterprise descubiertas por el investigador Gjoko Krstic. Estas vulnerabilidades podrían permitir una elevación de privilegios en el sistema.

Solución: 

Schneider Electric ha publicado un parche que corrige estas vulnerabilidades.

Detalle: 

Schneider Electric ha informado de tres vulnerabilidades en Pelco VideoXpert Enterprise:

  • Robo de sesión o evasión de autenticación, a través de un ataque de salto de directorio o “directory trasversal” mediante la captura de las comunicaciones. Se ha asignado a esta vulnerabilidad el identificador CVE-2017-9964.
  • Acceso a ficheros no autorizados del servidor web, a través de un ataque de salto de directorio o “directory trasversal”. Se ha asignado a esta vulnerabilidad el identificador CVE-2017-9965.
  • Escalada de privilegios, mediante la sustitución de ciertos archivos un usuario no autorizado podría obtener privilegios del sistema. Se ha asignado a esta vulnerabilidad el identificador CVE-2017-9966.