Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en Linear eMerge 50P/5000P de Nortek

Fecha de publicación: 03/07/2020

Importancia: Crítica

Recursos afectados:

Linear eMerge 50P/5000P, versiones 4.6.07 (revisión 79330) y anteriores.

Descripción:

Gjoko, de Applied Risk, ha reportado a CISA 5 vulnerabilidades, 3 de severidad crítica, una alta y una media, que podrían permitir a un atacante remoto ganar el control total del sistema.

Solución:

Actualizar a la versión v32-09a.

Detalle:

  • El software utiliza entradas externas para construir una ruta que debería estar dentro de un directorio restringido, pero no neutraliza adecuadamente las secuencias como "../" que podrían resolverse a una ubicación que está fuera de ese directorio. Esto podría permitir a un atacante atravesar el sistema de archivos para acceder a los archivos o directorios que están fuera del directorio restringido. Se ha asignado el identificador CVE-2019-7267 para esta vulnerabilidad.
  • La neutralización inadecuada de los caracteres especiales en los datos de entrada podría permitir a un atacante ejecutar comandos arbitrarios en el sistema operativo. Se ha asignado el identificador CVE-2019-7269 para esta vulnerabilidad.
  • La ausencia de validación de la extensión de los archivos al subirlos a través del script de subida de la actualización del firmware podría permitir a un atacante remoto, no autenticado, subir archivos con extensiones arbitrarias a un directorio dentro de la raíz web de la aplicación y ejecutarlos con privilegios del servidor web. Se ha asignado el identificador CVE-2019-7268 para esta vulnerabilidad.
  • La aplicación afectada permite a los usuarios realizar ciertas acciones a través de solicitudes HTTP sin realizar ninguna comprobación de validez para verificar dichas solicitudes. Esto podría ser explotado para realizar ciertas acciones con privilegios administrativos si un usuario conectado visita un sitio web malicioso. Se ha asignado el identificador CVE-2019-7270 para esta vulnerabilidad.
  • La validación insuficiente de los datos de entrada podría permitir a un atacante remoto enviar una solicitud HTTP, especialmente diseñada, para pasar por alto las comprobaciones de autenticación y obtener acceso no autorizado a la aplicación. Se ha asignado el identificador CVE-2019-7266 para esta vulnerabilidad.

Etiquetas: Actualización, Infraestructuras críticas, Vulnerabilidad