Múltiples vulnerabilidades en productos Wiesemann & Theis

Fecha de publicación: 08/11/2022

Importancia:
Crítica

Recursos afectados:

• Versiones anteriores a 1.48 de los productos:
  • AT-Modem-Emulator,
  • Com-Server ++,
  • Com-Server 20mA,
  • Com-Server LC,
  • Com-Server PoE 3 x Isolated,
  • Com-Server UL.
• Versiones anteriores a 1.76 de los productos:
  • Com-Server Highspeed 100BaseFX,
  • Com-Server Highspeed 100BaseLX,
  • Com-Server Highspeed 19″ 1Port,
  • Com-Server Highspeed 19″ 4Port,
  • Com-Server Highspeed Compact,
  • Com-Server Highspeed Industry,
  • Com-Server Highspeed Isolated,
  • Com-Server Highspeed OEM,
  • Com-Server Highspeed Office 1 Port,
  • Com-Server Highspeed Office 4 Port,
  • Com-Server Highspeed PoE.

Descripción:

CERT@VDE, en coordinación con Wiesemann & Theis, ha publicado 3 vulnerabilidades en la interfaz web: 2 de severidad crítica y 1 de severidad alta.

Solución:

Actualizar:

• Com-Server Family a las versiones 1.48 o superiores,
• Com-Server Highspeed Family a las versiones 1.76 o superiores.

Detalle:

Las vulnerabilidades críticas se describen a continuación:

• El uso de un espacio de números pequeños para asignar los identificadores de sesión podría permitir a un atacante remoto no autenticado forzar el identificador de sesión y obtener acceso a una cuenta en el dispositivo. Se ha asignado el identificador CVE-2022-42787 para esta vulnerabilidad.
• Un atacante remoto no autenticado podría iniciar la sesión sin conocer la contraseña enviando una petición HTTP GET maliciosa, omitiendo de esta manera el proceso de autenticación. Se ha asignado el identificador CVE-2022-42785 para esta vulnerabilidad.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2022-42786.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad