Pasar al contenido principal

Fecha de publicación: 23/02/2021

Importancia:Alta

Recursos afectados:

  • GateManager, todas las versiones anteriores a la 9.4;
  • SiteManager, todas las versiones anteriores a la 9.4.

Descripción:

Tenable ha reportado dos vulnerabilidades de severidad alta y otra de severidad media que podrían permitir a un atacante inyectar código XSS, acceder a información confidencial o instalar puertas traseras en el dispositivo, respectivamente.

Solución:

Actualizar a la versión 9.4 siguiendo las referencias adicionales para GateManager y SiteManager.

Detalle:

  • Una vulnerabilidad de XSS reflejado relacionada con el parámetro 'op' en gui.cgi de GateManager, podría permitir a un atacante inyectar código JavaScript arbitrario para que se ejecute en el navegador del usuario al navegar a la URL especialmente diseñada. Se ha asignado el identificador CVE- 2020-29028 para esta vulnerabilidad de severidad media.
  • Una vulnerabilidad podría permitir a un atacante obtener información confidencial de la URL de ruta de todas las peticiones POST/GET después de que un usuario se haya autenticado en GateManager, ya que el token de autenticación queda expuesto de forma predeterminada. Se ha asignado el identificador CVE-2020-29030 para esta vulnerabilidad de severidad alta.
  • Una vulnerabilidad en SiteManager podría permitir a un atacante, con permisos de nivel de operador de servicio, instalar firmware manipulado y así, instalar una puerta trasera en el dispositivo.

Encuesta valoración

Etiquetas:Actualización, Comunicaciones, Infraestructuras críticas, IoT, Vulnerabilidad

Compartir

Compartir en Linkedin