Inyección y ejecución de código arbitrario en ipDIO de IPCOMM

Fecha de publicación: 04/03/2022

Importancia:
Alta

Recursos afectados:

IPCOMM ipDIO, versión de firmware 3.9 2016/04/18 / IPDIO SW 3.9.

Descripción:

Aarón Flecha Menéndez, de S21Sec, ha reportado 4 vulnerabilidades, 2 de severidad alta y 2 medias, al CISA que podrían permitir a un atacante inyectar y ejecutar código arbitrario.

Solución:

IPCOMM no ofrece soporte para ipDIO y se considera el fin de su ciclo de vida útil.

IPCOMM recomienda actualizar a ip4Cloud, que es el sucesor de ipDIO. Obtenga soporte técnico de la actualización desde el centro de soporte al cliente de IPCOMM.

Detalle:

• La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta cargar, copiar, descargar o eliminar una configuración existente (Administrative Services). Se ha asignado el identificador CVE-2022-24915 para esta vulnerabilidad de severidad alta.
• La ausencia de filtros a la hora de cargar algunas secciones en la aplicación web del dispositivo vulnerable podría permitir a un atacante inyectar código malicioso sobre parámetros específicos que será interpretado cuando un usuario legítimo acceda a la sección web donde se muestra la información. El código inyectado se ejecuta cuando un usuario legítimo intenta revisar el historial. Se ha asignado el identificador CVE-2022-22985 para esta vulnerabilidad de severidad alta.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-24432 y CVE-2022-21146.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad