Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Bosch-en DIVAR 400 & 600 gailuetan

Argitalpen data: 2019/01/23

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • DIVAR 400 & 600 serieak, bertsio guztiak.

Azalpena:

Maxim Rupp ikertzaile independenteak Bosch-en DIVAR 400 & 600 gailuei eragiten dieten bi ahultasunen berri eman du. Ahultasun horiek arrakastaz baliatuz gero, urruneko erasotzaile batek informazioa lor lezake autentifikaziorik gabe eta gailuaren kredentzialak lor litzake.

Konponbidea:

  • Boschek gomendatzen du gailuak sare itxi batean erabiltzea. Hori ez bada posible, gailuak DIVAR-en azken bertsioagatik ordezkatzea gomendatzen du, horrek ez baititu ahultasun horiek.

Xehetasuna:

  • Urruneko erasotzaile batek aplikaziotik informazioa eskuratzea lor lezake, gailuan barneratutako web zerbitzariko URL helbide jakin baterako sarbidea lortuz.
  • Pasahitzak autentifikaziorik gabe eskura daitekeen fitxategi batean gordeta daude. Gainera, administratzailearen kredentzialak shell kodeko XML injekzio baten bidez eskura litzake erasotzaile batek.
Etiketak: Ahultasuna