Múltiples vulnerabilidades en ctrlX CORE de Bosch

Fecha de publicación: 21/04/2022

Importancia:
Crítica

Recursos afectados:

  • ctrlX CORE, versiones anteriores a XCR-V-0114.1;
  • ctrlX CORE (LTS), versiones anteriores a XCR-V-0112.15;
  • ctrlX CORE (Node-Red), versiones anteriores a RED-V-0114.4;
  • ctrlX CORE (Node-Red) (LTS), versiones anteriores a RED-V-0112.4.

Descripción:

Se han identificado 25 vulnerabilidades en ctrlX CORE de Bosch: 10 de severidad crítica, 8 altas, 4 medias, 1 baja y 2 sin severidad asignada. Un atacante podría escalar privilegios, obtener acceso al sistema o causar una denegación de servicio del dispositivo, explotando alguna de estas vulnerabilidades.

Solución:

Actualizar a las versiones:

  • core20 20220318 (parte de XCR-V-0112.15);
  • RED-V-0112.4 (rama LTS);
  • core20 20220318 (parte de XCR-V-0114.1);
  • RED-V-0114.4.

La actualización de core20 puede requerir un reinicio del dispositivo y, por lo tanto, el dispositivo no estará disponible temporalmente.

Detalle:

Los tipos de vulnerabilidades de severidad crítica son los siguientes:

  • denegación de servicio,
  • divulgación de información,
  • desbordamiento de entero,
  • desbordamiento de búfer,
  • ejecución arbitraria de código,
  • omisión de validación de la codificación,
  • inserción de caracteres separadores namespace en las URI de namespace.

Para estas vulnerabilidades críticas se han asignado los identificadores CVE-2021-35942, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-23218, CVE-2022-23219, CVE-2022-23852, CVE-2022-23990, CVE-2022-25235 y CVE-2022-25236.

Respecto al resto de vulnerabilidades no críticas, se pueden consultar sus identificadores CVE en el aviso del fabricante.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Linux, SSL/TLS, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.