Múltiples vulnerabilidades en Socomec MOD3GP-SY-120K
INCIBE-2023-0380
MODULYS GP (MOD3GP-SY-120K), versión de firmware web 01.12.10.
El investigador, Aarón Flecha Menéndez, ha reportado 7 vulnerabilidades detectadas en el producto MOD3GP-SY-120K de Socomec, 1 de severidad crítica, 4 altas y 2 medias. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código JavasScript malicioso, obtener información sensible o robar cookies de sesión.
El fabricante informa que MODULYS GP (MOD3GP-SY-120K) es un producto que se encuentra en su fin de vida útil (EoL), por lo que recomienda sustituirlo por MODULYS GP2 (M4-S-XXX) para no estar expuesto a estas vulnerabilidades.
La vulnerabilidad crítica consiste en una gestión incorrecta de sesiones dentro de la aplicación web y podría permitir a un atacante robar las cookies de sesión para realizar multitud de acciones que la aplicación web permite en el dispositivo. Se ha asignado el identificador CVE-2023-41084 para esta vulnerabilidad.
El resto de vulnerabilidades no críticas tienen asignados los identificadores: CVE-2023-38582, CVE-2023-39446, CVE-2023-41965, CVE-2023-40221, CVE-2023-39452 y CVE-2023-38255.
