Múltiples vulnerabilidades en varios productos de Bosch

Fecha de publicación: 06/10/2021

Importancia:
Crítica

Recursos afectados:

• Para la vulnerabilidad CVE-2021-23855:
  • Rexroth IndraMotion MLC IndraMotion XLC.
• Para la vulnerabilidad CVE-2021-23856:
  • Rexroth IndraMotion MLC L20 y L40.
• Para las vulnerabilidades CVE-2021-23857 y CVE-2021-23858:
  • Rexroth IndraMotion MLC L20 y L40, versión VRS 12 o superior.
• Para la vulnerabilidad CVE-2021-23858:
  • Rexroth IndraMotion MLC L25, L45, L65, L75, L85, XM21, XM22, XM41 y XM42 IndraControl XLC, versión VRS 12 o superior.
• Para la vulnerabilidad CVE-2021-23857:
  • Rexroth IndraMotion MLC L25, L45, L65, L75, L85, XM21, XM22, XM41 y XM42 IndraMotion XLC, versión VRS 12 o superior.

Descripción:

Los investigadores Matan Dobrushin y Eran Jacob de OTORIO Research han reportado a Bosch dos vulnerabilidades de severidad crítica y otras dos de severidad alta que podrían permitir a un atacante divulgar información, iniciar sesión en el sistema o ejecutar comandos.

Solución:

El fabricante recomienda usar una pasarela de seguridad, como por ejemplo ctrlX CORE, para proteger los productos afectados o reemplazarlos.

Detalle:

El fabricante recomienda usar una pasarela de seguridad, como por ejemplo ctrlX CORE, para proteger los productos afectados o reemplazarlos.  

Detalle:

• El servidor web es vulnerable a XSS reflejado lo que podría permitir a un atacante ejecutar scripts en el equipo de un cliente enviándole una URL manipulada. Se ha asignado el identificador CVE-2021-23856 para esta vulnerabilidad de severidad crítica.
• La rutina de inicio de sesión permite iniciar sesión en el sistema utilizando el hash de la contraseña. Se ha asignado el identificador CVE-2021-23857 para esta vulnerabilidad de severidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-23855 y CVE-2021-23858.

Etiquetas:
Infraestructuras críticas, Vulnerabilidad