Múltiples vulnerabilidades en ctrlX CORE de Bosch
- ctrlX CORE, versiones anteriores a XCR-V-0114.1;
- ctrlX CORE (LTS), versiones anteriores a XCR-V-0112.15;
- ctrlX CORE (Node-Red), versiones anteriores a RED-V-0114.4;
- ctrlX CORE (Node-Red) (LTS), versiones anteriores a RED-V-0112.4.
Se han identificado 25 vulnerabilidades en ctrlX CORE de Bosch: 10 de severidad crítica, 8 altas, 4 medias, 1 baja y 2 sin severidad asignada. Un atacante podría escalar privilegios, obtener acceso al sistema o causar una denegación de servicio del dispositivo, explotando alguna de estas vulnerabilidades.
Actualizar a las versiones:
- core20 20220318 (parte de XCR-V-0112.15);
- RED-V-0112.4 (rama LTS);
- core20 20220318 (parte de XCR-V-0114.1);
- RED-V-0114.4.
La actualización de core20 puede requerir un reinicio del dispositivo y, por lo tanto, el dispositivo no estará disponible temporalmente.
Los tipos de vulnerabilidades de severidad crítica son los siguientes:
- denegación de servicio,
- divulgación de información,
- desbordamiento de entero,
- desbordamiento de búfer,
- ejecución arbitraria de código,
- omisión de validación de la codificación,
- inserción de caracteres separadores namespace en las URI de namespace.
Para estas vulnerabilidades críticas se han asignado los identificadores CVE-2021-35942, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-23218, CVE-2022-23219, CVE-2022-23852, CVE-2022-23990, CVE-2022-25235 y CVE-2022-25236.
Respecto al resto de vulnerabilidades no críticas, se pueden consultar sus identificadores CVE en el aviso del fabricante.
