Fecha de publicación: 04/03/2022
Importancia:
Alta
Recursos afectados:
IPCOMM ipDIO, versión de firmware 3.9 2016/04/18 / IPDIO SW 3.9.
Descripción:
Aarón Flecha Menéndez, de S21Sec, ha reportado 4 vulnerabilidades, 2 de severidad alta y 2 medias, al CISA que podrían permitir a un atacante inyectar y ejecutar código arbitrario.
Solución:
IPCOMM no ofrece soporte para ipDIO y se considera el fin de su ciclo de vida útil.
IPCOMM recomienda actualizar a ip4Cloud, que es el sucesor de ipDIO. Obtenga soporte técnico de la actualización desde el centro de soporte al cliente de IPCOMM.
Detalle:
- La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta cargar, copiar, descargar o eliminar una configuración existente (Administrative Services). Se ha asignado el identificador CVE-2022-24915 para esta vulnerabilidad de severidad alta.
- La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta revisar el historial. Se ha asignado el identificador CVE-2022-22985 para esta vulnerabilidad de severidad alta.
Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-24432 y CVE-2022-21146.
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.