Múltiples vulnerabilidades en productos Elber
Fecha de publicación 05/02/2025
Identificador
INCIBE-2025-0057
Importancia
5 - Crítica
Recursos Afectados
Las siguientes versiones de los equipos de comunicaciones Elber están afectadas:
- Signum DVB-S/S2 IRD: versiones 1.999 y anteriores;
- Cleber/3 Broadcast Multi-Purpose Platform: versión 1.0;
- Reble610 M/ODU XPIC IP-ASI-SDH: versión 0.01;
- ESE DVB-S/S2 Satellite Receiver: versiones 1.5.179 y anteriores;
- Wayber Analog/Digital Audio STL: versión 4.
Descripción
Gjoko Krstic, de Zero Science Lab, ha reportado 2 vulnerabilidades: una de severidad crítica y otra alta, cuya explotación podría permitir a un atacante obtener acceso administrativo, no autorizado, al dispositivo afectado.
Solución
Elber no tiene previsto mitigar estas vulnerabilidades porque los equipos están al final o casi al final de su vida útil (EoL). Se invita a los usuarios de las versiones afectadas a que se pongan en contacto con el servicio de atención al cliente de Elber para obtener más información.
Detalle
- Vulnerabilidad de omisión de autenticación, de severidad crítica, que podría permitir el acceso no autorizado a la funcionalidad de gestión de contraseñas. Los atacantes pueden explotar este problema manipulando el endpoint para sobrescribir la contraseña de cualquier usuario dentro del sistema. Esto les otorga acceso administrativo no autorizado a áreas protegidas de la aplicación, comprometiendo la seguridad del sistema del dispositivo. Se ha asignado el identificador CVE-2025-0674 para esta vulnerabilidad.
- La vulnerabilidad de severidad alta afecta a múltiples productos Elber que disponen de un acceso a la configuración del dispositivo que no requiere autenticación y de una funcionalidad de divulgación oculta del lado del cliente. Se ha asignado el identificador CVE-2025-0675 para esta vulnerabilidad.
Listado de referencias
