Vulnerabilidades y Avisos de Seguridad: Permisos predeterminados incorrectos en Evoko Home de Biamp

Permisos predeterminados incorrectos en Evoko Home de Biamp

Recursos Afectados
  • Evoko Home Service para Windows, versiones comprendidas entre la 2.4.2 y la 2.7.4.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta distintas versiones de Evoko Home, un sistema para gestionar los dispositivos de reserva de salas Liso instalados fuera de las salas de reuniones, la cual ha sido descubierta por Alexander Huaman.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-12903: CVSS v3.1: 7.8 | CVSS AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-276.
Identificador
INCIBE-2024-0622

4 – Alta
Solución

Actualmente no se dispone de solución, está planeado incluirla en la publicación del nuevo framework en 2025. Las medidas de mitigación temporales hasta que se lance la nueva versión, consiste en utilizar Ubuntu en lugar de Windows.

Detalle
  • CVE-2024-12903: vulnerabilidad de permisos predeterminados incorrectos en Evoko Home, que afecta a la versión 2.4.2 a 2.7.4. Un usuario que no sea administrador podría aprovechar permisos débiles de archivos y carpetas para escalar privilegios, ejecutar código arbitrario y mantener la persistencia en la máquina comprometida. Se ha identificado que existen permisos de control total sobre el grupo “Everyone” (es decir, cualquier usuario que tenga acceso local al sistema operativo independientemente de sus privilegios).
Listado de referencias

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.