MĂșltiples vulnerabilidades en productos de Korenix

Fecha de publicaciĂłn: 10/04/2023

Importancia:
Alta

Recursos afectados:

Las siguientes versiones de Korenix Jetwave estån afectadas:

  • Korenix JetWave4221 HP-E, versiones V1.3.0 y anteriores;
  • Korenix JetWave 3220/3420 V3, versiones anteriores a V1.7;
  • Korenix JetWave 2212G, versiĂłn V1.3.T;
  • Korenix JetWave 2212X/2112S, versiĂłn V1.3.0;
  • Korenix JetWave 2211C, versiones anteriores a V1.6;
  • Korenix JetWave 2411/2111, versiones anteriores a V1.5;
  • Korenix JetWave 2411L/2111L, versiones anteriores a V1.6;
  • Korenix JetWave 2414/2114, versiones anteriores a V1.4;
  • Korenix JetWave 2424, versiones anteriores a V1.3;
  • Korenix JetWave 2460, versiones anteriores a V1.6.

DescripciĂłn:

Thomas Weber, de CyberDanube, ha informado de 3 vulnerabilidades: dos de severidad alta y una de severidad media, que podrían permitir a un atacante obtener acceso completo al sistema operativo subyacente del dispositivo o causar una condición de denegación de servicio.

SoluciĂłn:

Korenix recomienda a todos los usuarios actualizar los productos afectados a las Ășltimas versiones de firmware disponibles. MĂĄs informaciĂłn acerca de las versiones correctoras en el apartado Mitigations del siguiente enlace.

Detalle:

  • Vulnerabilidad de inyecciĂłn de comandos. Un atacante podrĂ­a modificar el parĂĄmetro file_name para ejecutar comandos como root. Se ha asignado el identificador CVE-2023-23294 para esta vulnerabilidad.
  • Vulnerabilidad de inyecciĂłn de comandos a travĂ©s de /goform/formSysCmd. Un atacante podrĂ­a modificar el parĂĄmetro sysCmd para ejecutar comandos como root. Se ha asignado el identificador CVE-2023-23295 para esta vulnerabilidad.
  • Posible condiciĂłn de denegaciĂłn de servicio a travĂ©s de /goform/formDefault. A travĂ©s de una peticiĂłn POST, un atacante con sesiĂłn iniciada podrĂ­a hacer servicio web deja de estar disponible y no se podrĂĄ acceder a Ă©l hasta que el usuario reinicie el dispositivo. Se ha asignado el identificador CVE-2023-23296 para esta vulnerabilidad.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.