MĂșltiples vulnerabilidades en productos Sealevel Systems

Fecha de publicaciĂłn: 02/02/2022

Importancia:
CrĂ­tica

Recursos afectados:

  • Sealevel Systems, Inc. SeaConnect 370W v1.3.34;
  • Eclipse Foundation Embedded Paho MQTTClient-C library v1.0.0.

DescripciĂłn:

Francesco Benvenuto y Matt Wiseman, de Cisco Talos, han reportado 10 vulnerabilidades: 4 críticas, 6 altas  y 3 bajas, que podrían permitir a un atacante controlar las funcionalidades del dispositivo, la sobreescritura arbitraria de archivos, la ejecución remota de código, la escritura fuera de límites, la divulgación de información o la denegación del servicio.

SoluciĂłn:

No hay soluciĂłn disponible por el momento.

Detalle:

Las vulnerabilidades crĂ­ticas se refieren a:

  • El desbordamiento de bĂșfer basado en memoria dinĂĄmica (heap) en la funcionalidad de descarga de actualizaciones OTA, podrĂ­a permitir a un atacante la ejecuciĂłn remota de cĂłdigo mediante una serie de cargas Ăștiles MQTT especialmente diseñadas. Para ello, es necesario un ataque Man-in-the-Middle. Se ha asignado el identificador CVE-2021-21962 para esta vulnerabilidad.
  • Una vulnerabilidad en la funcionalidad readPacket de la biblioteca MQTTClient-C v1.0.0 de Eclipse Foundation Embedded Paho, podrĂ­a permitir a un atacante la escritura fuera de lĂ­mites mediante una carga Ăștil MQTT especialmente diseñada. Se ha asignado el identificador CVE-2021-41036 para esta vulnerabilidad.
  • Una vulnerabilidad de desbordamiento de bĂșfer basado en pila (stack) en las funciones LLMNR y NBNS, podrĂ­a permitir a un atacante la ejecuciĂłn remota de cĂłdigo mediante el envĂ­o de un paquete de red especialmente diseñado. Se han asignado los identificadores CVE-2021-21960 y CVE-2021-21961 para estas vulnerabilidades.

Para las vulnerabilidades de severidad alta, se han asignado los siguientes identificadores: CVE-2021-21959, CVE-2021-21968, CVE-2021-21963, CVE-2021-21967, CVE-2021-21964 y CVE-2021-21965.

Para las vulnerabilidades de severidad baja, se han asignado los siguientes identificadores: CVE-2021-21969, CVE-2021-21970 y CVE-2021-21971.

Encuesta valoraciĂłn

Etiquetas:
0day, IoT, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.