Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Notifier Web Server (NWS-3) de Honeywell

Fecha de publicación 21/02/2020
Importancia
5 - Crítica
Recursos Afectados

Honeywell Notifier Web Server (NWS-3), versiones 3.50 y anteriores.

Descripción

Gjoko Krstikj ha reportado dos vulnerabilidades, ambas de severidad crítica, de tipos omisión de autenticación por captura y repetición del tráfico de red, y acceso a rutas no controlado.

Solución

Actualizar el producto afectado a la versión de firmware 4.51.

Detalle
  • La autentificación en Honeywell Fire Web Server puede ser omitida por un ataque de captura y repetición del tráfico de red desde un navegador web. Se ha reservado el identificador CVE-2020-6972 para esta vulnerabilidad.
  • El producto afectado es vulnerable a un ataque de acceso a rutas no controlado, lo que permitiría a un atacante omitir el acceso a directorios restringidos. Se ha reservado el identificador CVE-2020-6974 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-051-03) Honeywell NOTI-FIRE-NET Web Server (NWS-3)
Etiquetas