Fecha de publicación: 20/04/2022
Importancia:
Media
Recursos afectados:
Eaton Intelligent Power Manager Infrastructure (IPM Infrastructure), todas las versiones, incluida la 1.5.0plus205.
Descripción:
El investigador Micheal Heinzl, a través del ICS-CERT, ha notificado a Eaton 3 vulnerabilidades: 2 de severidad media y 1 baja, que podrían permitir a un atacante realizar Cross-site Scripting (XSS) o inyección en CSV.
Solución:
El ciclo de vida del producto afectado ha entrado en la fase de EOL (End Of Life). La transición a IPM Monitor Edition está en progreso.
Hasta el cambio efectivo, el fabricante recomienda aplicar las medidas de seguridad recogidas en la sección General Security Best Practices.
Detalle:
- La vulnerabilidad se debe a la insuficiente validación de la entrada de ciertos recursos por parte del software de IPM Infrastructure. El atacante necesitaría acceso a la subred local y una interacción de administrador para comprometer el sistema. Se ha asignado el identificador CVE-2021-23284 para esta vulnerabilidad media.
- La vulnerabilidad se debe a la incorrecta sanitización de los archivos CSV importados. El atacante necesitaría acceso a la subred local y una interacción de administrador para comprometer el sistema. Se ha asignado el identificador CVE-2021-23286 para esta vulnerabilidad media.
Para la vulnerabilidad de severidad baja se ha asignado el identificador CVE-2021-23285.
Etiquetas:
Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.