Vigil@nce - RuggedCom ROS : deux vulnérabilités
janvier 2013 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer deux vulnérabilités de RuggedCom ROS,
afin d’obtenir les privilèges de l’administrateur.
Produits concernés : RuggedSwitch
Gravité : 2/4
Date création : 02/01/2013
DESCRIPTION DE LA VULNÉRABILITÉ
Deux vulnérabilités ont été annoncées dans RuggedCom ROS.
L’identifiant de la session Web UI de l’administrateur est stocké
sur 4 bits (16 valeurs). Un attaquant peut donc prédire cette
valeur, et construire une url lui permettant d’accéder à la
session active d’un administrateur. [grav:2/4]
Les utilisateurs "guest" et "operator" peuvent se connecter sur
Web UI, et modifier les paramètres d’un formulaire HTML, afin
d’effectuer des actions avec les privilèges de l’administrateur.
[grav:2/4]
Un attaquant peut donc employer deux vulnérabilités de RuggedCom
ROS, afin d’obtenir les privilèges de l’administrateur.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/RuggedCom-ROS-deux-vulnerabilites-12277