Fecha de publicaciĂłn: 08/11/2022
Importancia:
CrĂtica
Recursos afectados:
- Versiones anteriores a 1.48 de los productos:
- AT-Modem-Emulator,
- Com-Server ++,
- Com-Server 20mA,
- Com-Server LC,
- Com-Server PoE 3 x Isolated,
- Com-Server UL.
- Versiones anteriores a 1.76 de los productos:
- Com-Server Highspeed 100BaseFX,
- Com-Server Highspeed 100BaseLX,
- Com-Server Highspeed 19″ 1Port,
- Com-Server Highspeed 19″ 4Port,
- Com-Server Highspeed Compact,
- Com-Server Highspeed Industry,
- Com-Server Highspeed Isolated,
- Com-Server Highspeed OEM,
- Com-Server Highspeed Office 1 Port,
- Com-Server Highspeed Office 4 Port,
- Com-Server Highspeed PoE.
DescripciĂłn:
CERT@VDE, en coordinaciĂłn con Wiesemann & Theis, ha publicado 3 vulnerabilidades en la interfaz web: 2 de severidad crĂtica y 1 de severidad alta.
SoluciĂłn:
Actualizar:
- Com-Server Family a las versiones 1.48 o superiores,
- Com-Server Highspeed Family a las versiones 1.76 o superiores.
Detalle:
Las vulnerabilidades crĂticas se describen a continuaciĂłn:
- El uso de un espacio de nĂșmeros pequeños para asignar los identificadores de sesiĂłn podrĂa permitir a un atacante remoto no autenticado forzar el identificador de sesiĂłn y obtener acceso a una cuenta en el dispositivo. Se ha asignado el identificador CVE-2022-42787 para esta vulnerabilidad.
- Un atacante remoto no autenticado podrĂa iniciar la sesiĂłn sin conocer la contraseña enviando una peticiĂłn HTTP GET maliciosa, omitiendo de esta manera el proceso de autenticaciĂłn. Se ha asignado el identificador CVE-2022-42785 para esta vulnerabilidad.
Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2022-42786.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.