Argitalpen data: 2020/08/28
Garrantzia: Kritikoa
Kaltetutako baliabideak:
- N-Tron 702-W, bertsio guztiak;
- N-Tron 702M12-W, bertsio guztiak.
Azalpena:
Thomas Weber, SEC Consult Vulnerability Lab erakundeko ikertzaileak, 5 ahultasun atzeman ditu; 3 larritasun kritikokoak eta 2 larritasun handikoak. Motak: XSS, CSRF, dokumentatu gabeko funtzionalitatea (backdoor) eta hirugarrenen osagaiak mantenimendurik gabe erabiltzea
Konponbidea:
Red Lion 702-W serieko produktu guztiak jarraitutasunik gabeko produktu izatera pasa ziren 2018an, eta ezin dira eguneratu. Fabrikatzaileak gomendatzen du produktu horiek sare seguru baten modu lokalean erabiltzea.
Xehetasuna:
- Kaltetutako produktua gailuan dagoen interfaze ez dokumentatu baten mende dago. Horrela izanik, erasotzaile batek root pribilegioekin exekutatu litzake komandoak gailuan. Ahultasun horretarako, CVE-2020-16204 identifikatzailea erreserbatu da.
- Kaltetutako produktua islatutako XSS (Cross-Site Scripting) baten mende dago. Horren ondorioz, erasotzaile batek kode arbitrarioa exekutatu lezake urrunetik, eta erasotutako erabiltzailearen testuinguruan ekintzak burutu. Ahultasun horretarako, CVE-2020-16210 identifikatzailea erreserbatu da.
- Kaltetutako produktua biltegiratutako XSS (Cross-Site Scripting) baten mende dago. Horren ondorioz, erasotzaile batek kode arbitrarioa exekutatu lezake urrunetik, datu konfidentzialetarako sarbidea lortzeko. Ahultasun horretarako, CVE-2020-16206 identifikatzailea erreserbatu da.
- Kaltetutako produktua CSRF (Cross-Site Request Forgery) baten mende dago; horren ondorioz, erasotzaile batek gailu baten hainbat konfigurazio alda litzake, baimendutako erabiltzaile bat engainatuz, bereziki diseinatutako lotura batera sartzeko. Ahultasun horretarako, CVE-2020-16208 identifikatzailea erreserbatu da.
- Kaltetutako produktua ahula da software zaharkitua duten hirugarrenen osagaiak erabiltzeagatik. Horren ondorioz, erasotzaile batek informazio konfidentziala lortu lezake, eta gailuaren kontrola bereganatu. Ahultasun horretarako, CVE-2017-16544 identifikatzailea erreserbatu da.
Etiketak: Komunikazioa, Azpiegitura kritikoak, Ahultasuna