Fecha de publicación: 20/10/2022
Importancia:
Media
Recursos afectados:
- Bosch VIDEOJET multi 4000, versión 6.31.0010 y anteriores.
- Bosch DSA E2800:
- Base units 11.50.2 en Linux;
- Dual Controllers 11.60.2 en Linux.
Descripción:
Se han identificado 3 vulnerabilidades de severidad media en productos Bosch de tipo Cross-Site Scripting (XSS) y denegación de servicio (DoS).
Solución:
- Se aconseja utilizar una herramienta de Bosch como Configuration Manager para configurar el codificador, que no es vulnerable a XSS ni CSRF (Cross Site Request Forgery).
-
Actualizar el firmware del controlador Bosch E2800 afectado a la versión 11.70.3P1.
Detalle:
- Un error en el gestor de URL del VIDEOJET multi 4000 podría conducir a un XSS reflejado en la interfaz web. Un atacante con conocimiento de la dirección del codificador podría enviar un enlace malicioso a un usuario, que ejecutará código JavaScript en el contexto del usuario. Se ha asignado el identificador CVE-2022-40183 para esta vulnerabilidad.
- El filtrado incompleto del código JavaScript en diferentes campos de configuración de la interfaz web del VIDEOJET multi 4000 podría permitir a un atacante con credenciales administrativas almacenar código JavaScript, que se ejecutará para todos los administradores que accedan a la misma opción de configuración. Se ha asignado el identificador CVE-2022-40184 para esta vulnerabilidad.
- Un atacante podría finalizar una asociación en la pila SCTP de Linux a través de fragmentos no válidos, si conoce las direcciones IP y los números de puerto que se utilizan, permitiendo el envío de paquetes con direcciones IP falsas. Se ha asignado el identificador CVE-2021-3772 para esta vulnerabilidad.
Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, Linux, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.