Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Miele-ren XGW 3000 ZigBee Gateway-n

Argitalpen data: 2019/05/21

Garrantzia: Ertaina

Kaltetutako baliabideak: 

  • XGW 3000 ZigBee Gateway.

Azalpena:

Maxim Rupp ikertzaileak Miele-ren XGW 3000 ZigBee Gateway produktuari eragiten dioten bi ahultasunen berri eman du, bat CSRF (Cross-site request forgery) erakoa eta bestea autentifikazioaren saiheste erakoa.

Konponbidea:

  • Softwarearen 2.4.0 bertsioa instalatzea XGW 3000 ZigBee Gateway-ren eguneratze automatikoaren funtzioaren bitartez.

Xehetasuna:

  • Autentifikatutako erabiltzaile administratibo batek bisitatzen duen asmo gaiztoko webgune batek edo asmo gaiztoko email batek aldaketa arbitrarioak egin ditzakete admin panel-ean CSRF eraso baten bidez.
  • Aurreko ahultasunarekin batera, administratzaile pasahitza alda daiteke zaharra egiaztatu gabe, era horretara saihestuz pasahitz aldaketaren funtzioa.

Etiketak: Eguneraketa, Ahultasuna