Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Limitación incorrecta de la ruta a un directorio restringido en productos de Black Box

Fecha de publicación 11/01/2023
Identificador

INCIBE-2023-0005

Importancia
4 - Alta
Recursos Afectados

Black Box KVM, versiones de firmware:

  • ACR1000A-R-R2 v3.4.31307;
  • ACR1000A-T-R2 v3.4.31307;
  • ACR1002A-T v3.4.31307;
  • ACR1002A-R v3.4.31307;
  • ACR1020A-T v3.4.31307.
Descripción

CISA descubrió una Prueba de Concepto (PoC) pública del investigador, Ferhat Çil, y se lo comunicó a Black Box.

Solución

Se recomienda actualizar cada producto afectado a la versión de firmware v3.6 o posterior (ver más información en la referencia).

Detalle

Existe una vulnerabilidad de limitación incorrecta de ruta a un directorio restringido (path traversal) en los modelos y versiones mencionados de Black Box, que podría permitir a un atacante robar credenciales de usuario y otra información sensible a través de la inclusión de archivos localmente. Se ha asignado el identificador CVE-2022-4636 para esta vulnerabilidad.

Encuesta valoración