В системах управления видеонаблюдением Schneider Electric исправлена критическая уязвимость

Компания Schneider Electric выпустила обновление прошивки для своей системы управления видеонаблюдением Pelco VideoXpert Enterprise, устраняющее несколько серьезных уязвимостей, в том числе одну критическую.

Система управления видеонаблюдением Pelco VideoXpert Enterprise используется организациями и фирмами по всему миру. Исследователь кибербезопасности Гйоко Крстиц (Gjoko Krstic) обнаружил в системе две уязвимости типа "обход каталога" (directory traversal) и одну проблему некорректного управления доступом, позволяющую злоумышленнику выполнить произвольный код.

Самой опасной из обнаруженных уязвимостей является CVE-2017-9966, позволяющая злоумышленнику заменить определенные файлы и выполнить вредоносный код с привилегиями системы.

Уязвимости обхода каталога CVE-2017-9964 и CVE-2017-9965 менее опасны. Первая позволяет злоумышленнику обойти аутентификацию и перехватить сессию. Вторая может быть проэксплуатирована неавторизованным пользователем для получения доступа к файлам web-сервера, которые могут содержать конфиденциальную информацию.

Уязвимости в Pelco VideoXpert Enterprise были исправлены с выпуском прошивки версии 2.1. Проблемы затрагивают все более ранние версии прошивки.