Fecha de publicación: 07/03/2023
Importancia:
Alta
Recursos afectados:
- Los siguientes productos pertenecientes a la gama TC ROUTER 4000 están afectados por las vulnerabilidades reportadas, en las versiones anteriores a la 4.5.72.107:
- TC ROUTER 4002T-4G EU
- TC ROUTER 4102T-4G EU WLAN
- TC ROUTER 4202T-4G EU WLAN
- Los siguientes productos pertenecientes a la gama CLOUD CLIENT 2000 están afectados por las vulnerabilidades reportadas, en las versiones anteriores a la 4.5.73.107:
- CLOUD CLIENT 2002T-4G EU
- CLOUD CLIENT 2002T-WLAN
- CLOUD CLIENT 2102T-4G EU WLAN
Descripción:
ONEKEY ha reportado dos vulnerabilidades de severidad alta en los dispositivos afectados, cuya explotación podría permitir a un atacante ejecutar comandos arbitrarios, cargar archivos arbitrarios o eliminar archivos del dispositivo, pudiendo provocar que el funcionamiento no sea el adecuado.
Solución:
Ambas vulnerabilidades han sido solucionadas por Phoenix Contact en la versión 4.6.7.x.101 de los dispositivos afectados.
Detalle:
- Existe una vulnerabilidad de inyección de comandos en la interfaz de administración web de NetModule NSRW, debido a que esta ejecuta comandos de sistema operativo con entradas de usuario no desinfectadas. Una explotación satisfactoria podría permitir a un atacante autenticado ejecutar comandos arbitrarios con privilegios elevados. Se ha asignado el identificador CVE-2023-0861 para esta vulnerabilidad.
- La interfaz de administración web de NetModule NSRW es vulnerable a path traversal, lo que podría permitir a un atacante cargar y/o eliminar archivos arbitrariamente. Se ha asignado el identificador CVE-2023-0862 para esta vulnerabilidad.
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.