Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Lectura arbitraria de archivos en Access Controller de Cassia Networks

Fecha de publicación 30/04/2021
Importancia
3 - Media
Recursos Afectados

Access Controller, todas las versiones anteriores a 2.0.1.

Descripción

Amir Preminger y Sharon Brizinov, investigadores de Claroty, han reportado al CISA una vulnerabilidad, de severidad media, de limitación inadecuada a directorio restringido que afecta al producto Access Controller de Cassia Networks.

Solución

Cassia Networks ha publicado un parche (es necesario iniciar sesión) que corrige la vulnerabilidad reportada.

Detalle

Un atacante podría utilizar la ruta minify con una ruta relativa para ver cualquier archivo en el servidor de Access Controller. Se ha asignado el identificador CVE-2021-22685 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-21-119-02) Cassia Networks Access Controller
Etiquetas