WIC1200, versiĂłn 1.1.
INCIBE ha coordinado la publicaciĂłn de 3 vulnerabilidades de severidad alta que afectan a WIC1200 versiĂłn 1.1, un dispositivo hardware para administraciĂłn de sitios web, las cuales han sido descubiertas por HADESS.
A estas vulnerabilidades se le han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-0554: 5.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
- CVE-2024-0555: 4.6 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L | CWE-352.Â
- CVE-2024-0556: 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CWE-261.Â
No hay soluciĂłn reportada por el momento.Â
CVE-2024-0554: Cross-Site scripting (XSS) en WIC1200, que afecta la versiĂłn 1.1. Un usuario autenticado podrĂa almacenar una carga Ăștil de JavaScript maliciosa en el parĂĄmetro model del dispositivo a travĂ©s de â/setup/diags_ir_learn.aspâ, lo que permitirĂa al atacante recuperar los detalles de la sesiĂłn de otro usuario.
CVE-2024-0555: Cross-site request forgery (CSRF) en WIC1200, que afecta la versiĂłn 1.1. Un usuario autenticado podrĂa llevar a otro usuario a ejecutar acciones no deseadas dentro de la aplicaciĂłn en la que iniciĂł sesiĂłn. Esta vulnerabilidad es posible debido a la falta de una implementaciĂłn adecuada del token CSRF.
CVE-2024-0556: criptografĂa dĂ©bil para contraseñas en WIC1200 que afecta la versiĂłn 1.1. Esta vulnerabilidad permite a un usuario remoto interceptar el trĂĄfico y recuperar las credenciales de otro usuario y decodificarlas en base64, lo que permite al atacante ver las credenciales en texto sin formato.Â
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.