[Actualización 15/11/2024] Múltiples vulnerabilidades en Elvaco M-Bus Metering Gateway CMe3100
M-Bus Metering Gateway CMe3100, versión 1.12.1.
El investigador Tomer Goldschmidt de Claroty Research - Team82 ha reportado a CISA, 4 vulnerabilidades: 1 de severidad crítica y 3 de severidad alta, que afectan a Elvaco M-Bus Metering Gateway CMe3100. La explotación de estas vulnerabilidades podría provocar acceso no autorizado, envío de información falsa, saltarse la autenticación y ejecución remota de código.
No existe en este momento solución para las vulnerabilidades. Se recomienda a los usuarios contactar con Elvaco desde su portal de soporte al consumidor para obtener mas información.
[Actualización 15/11/2024]
Elvaco ha introducido mejoras de seguridad en la versión 1.13.3 del software, que ya está disponible para su descarga en su web.
La versión 1.13.3 aborda y mitiga el riesgo de que un atacante se salte la autenticación para acceder a un dispositivo no oculto en una red privada/cerrada (CVE-2024-49397) y el acceso remoto no autorizado (CVE-2024-49399).
- Debido a una neutralización indebida de la entrada durante la generación de páginas web, un atacante externo mediante un ataque XSS, podría para saltarse la autenticación y tomar el control de cuentas de administrador. Se ha asignado el identificador CVE-2024-49397 para esta vulnerabilidad crítica.
Además, se han asignado los identificadores CVE-2024-49396, CVE-2024-49398 y CVE-2024-49399 para las vulnerabilidades altas. Estas se pueden consultar en las referencias.
