Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos Welotec

Fecha de publicación 10/04/2024
Identificador
INCIBE-2024-0173
Importancia
5 - Crítica
Recursos Afectados

Versiones de firmware anteriores a 2.3.0.r5542 de los productos:

  • TK515L,
  • TK515L Set,
  • TK515L-W,
  • TK515L-W Set,
  • TK525L,
  • TK525L Set,
  • TK525L-W,
  • TK525L-W Set,
  • TK525U,
  • TK525U Set,
  • TK525W,
  • TK525W Set,
  • TK535L1,
  • TK535L1 Set.
Descripción

El BSI, en coordinación con el CERT@VDE, ha reportado 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan a varios productos tipo router de la serie TK500v1. La explotación de las vulnerabilidades podría permitir a un atacante manipular los dispositivos afectados.

Solución

Actualizar el firmware a la versión r5542 o posteriores.

Detalle
  • Un atacante remoto, no autenticado, que conozca el nombre de un tema MQTT podría enviar y recibir mensajes, incluidos comandos de configuración GET/SET, comandos de reinicio y actualizaciones de firmware. Se ha asignado el identificador CVE-2023-1083 para esta vulnerabilidad crítica.
  • Un atacante remoto, con bajo nivel de privilegios, podría realizar una inyección de comandos para obtener acceso a nivel de root. Se ha asignado el identificador CVE-2023-1082 para esta vulnerabilidad alta.
Listado de referencias
VDE-2024-009 - Welotec: Two vulnerabilities in TK500v1 router series
Etiquetas