Fecha de publicaciĂłn: 22/10/2021
Importancia:
Alta
Recursos afectados:
DIALink, versiĂłn 1.2.4.0 y anteriores.
DescripciĂłn:
El investigador, Michael Heinzl, ha reportado al CISA cuatro vulnerabilidades de severidad alta y otras seis de severidad media que podrĂan permitir a un atacante desarrollar un ataque machine-in-the-middle, ejecutar cĂłdigo de forma remota, realizar una escalada de privilegios, tomar el control del sistema, modificar el directorio de instalaciĂłn o subir archivos maliciosos.
SoluciĂłn:
Por el momento no existe una soluciĂłn, aunque el fabricante estĂĄ trabajando en ello. Se recomienda aplicar las medidas de mitigaciĂłn detalladas en el apartado 4 del aviso de CISA.
Detalle:
- El producto afectado trabaja por defecto sobre HTTP, lo que podrĂa permitir realizar un ataque machine-in-the-middle para acceder a informaciĂłn sin autorizaciĂłn. Se ha asignado el identificador CVE-2021-38418 para esta vulnerabilidad de severidad alta.
- El producto afectado almacena informaciĂłn sensible en texto plano, lo que podrĂa permitir a un atacante acceder a la aplicaciĂłn y realizar una escalada de privilegios. Se ha asignado el identificador CVE-2021-38422 para esta vulnerabilidad de severidad alta.
- El producto afectado carga librerĂas de forma insegura, lo que podrĂa permitir a un atacante el secuestro de DLL y tomar el control del sistema en el que el software estĂ© instalado. Se ha asignado el identificador CVE-2021-38416 para esta vulnerabilidad de severidad alta.
- El producto afectado ofrece por defecto amplios privilegios a cuentas de usuario con pocos privilegios, lo que podrĂa permitir a un atacante modificar el directorio de instalaciĂłn y cargar archivos maliciosos. Se ha asignado el identificador CVE-2021-38420 para esta vulnerabilidad de severidad alta.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-38428, CVE-2021-38488, CVE-2021-38407, CVE-2021-38403, CVE-2021-38411 y CVE-2021-38424.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.