Configuración de Cookies

Cookies técnicas

Activas
ver cookies

Son aquellas que permiten al usuario la navegación a través de la página web y la utilización de las diferentes opciones o servicios que en ella existan, incluyendo aquellas que el editor utiliza para permitir la gestión y operativa de la página web y habilitar sus funciones y servicios.

Cookies analíticas

Inactivas
ver cookies

Son aquellas que permiten al responsable de las mismas el seguimiento y análisis del comportamiento de los usuarios del sitio web. La información recogida mediante este tipo de cookies se utiliza en la medición de la actividad del sitio web, con el fin de introducir mejoras en función del análisis de los datos de uso que hacen los usuarios del servicio.

AVISO DE COOKIES

Esta página web, propiedad de SPRI, utiliza cookies propias y de terceros con la finalidad de permitir su navegación, elaborar información estadística, analizar sus hábitos de navegación y remitirle publicidad en función de los mismos. Puedes hacer clic en Aceptar para permitir el uso de todas las cookies o puedes elegir qué tipo de cookies deseas aceptar o rechazar mediante la opción Configurar Cookies. También, puedes obtener más información en nuestra Política de Cookies.Configurar cookiesAceptar

Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Múltiples vulnerabilidades en productos de Geutebrück

Fecha de publicación: 05/06/2019

Importancia: Alta

Recursos afectados:

Las vulnerabilidades afectan a las siguientes versiones y modelos de Encoder y E2 Series Camera:

  • G-Code: Todas las versiones 1.12.0.25 y anteriores.
    • EEC-2XXX
  • G-Cam: Todas las versiones 1.12.0.25 y anteriores.
    • EBC-21XX
    • EFD-22XX
    • ETHC-22XX
    • EWPC-22XX

Descripción:

Los investigadores Romain Luyer, Guillaume Gronnier de CEIS, junto con Davy Douhine de RandoriSec, han reportado múltiples vulnerabilidades de tipo Cross-site Scripting (XSS) e inyección de comandos de sistema operativo. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código remoto como root y ejecutar código en el navegador del operador de la cámara IP.

Solución:

  • El fabricante ha publicado una actualización de firmware para los usuarios registrados que mitiga las vulnerabilidades:

Detalle:

  • Un atacante remoto autenticado con acceso a la configuración de eventos podría almacenar código malicioso en el servidor que posteriormente podría ser ejecutado por un usuario legítimo, resultando en una ejecución de código dentro del navegador del usuario. Se ha reservado el identificador CVE-2019-10957 para esta vulnerabilidad.
  • Un atacante remoto autenticado podría ejecutar comandos como root mediante un comando URL específicamente diseñado. Se ha reservado el identificador CVE-2019-10956 para esta vulnerabilidad.
  • Una incorrecta validación en los parámetros de entrada de usuario podría permitir a un atacante remoto autenticado con acceso a la configuración de red introducir comandos del sistema al servidor, logrando ejecutar código remoto como root. Se ha reservado el identificador CVE-2019-10958 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad