Múltiples vulnerabilidades en productos de Geutebrück

Fecha de publicación 05/06/2019
Importancia
4 - Alta
Recursos Afectados

Las vulnerabilidades afectan a las siguientes versiones y modelos de Encoder y E2 Series Camera:

  • G-Code: Todas las versiones 1.12.0.25 y anteriores.
    • EEC-2XXX
  • G-Cam: Todas las versiones 1.12.0.25 y anteriores.
    • EBC-21XX
    • EFD-22XX
    • ETHC-22XX
    • EWPC-22XX
Descripción

Los investigadores Romain Luyer, Guillaume Gronnier de CEIS, junto con Davy Douhine de RandoriSec, han reportado múltiples vulnerabilidades de tipo Cross-site Scripting (XSS) e inyección de comandos de sistema operativo. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante remoto ejecutar código remoto como root y ejecutar código en el navegador del operador de la cámara IP.

Solución
  • El fabricante ha publicado una actualización de firmware para los usuarios registrados que mitiga las vulnerabilidades:
Detalle
  • Un atacante remoto autenticado con acceso a la configuración de eventos podría almacenar código malicioso en el servidor que posteriormente podría ser ejecutado por un usuario legítimo, resultando en una ejecución de código dentro del navegador del usuario. Se ha reservado el identificador CVE-2019-10957 para esta vulnerabilidad.
  • Un atacante remoto autenticado podría ejecutar comandos como root mediante un comando URL específicamente diseñado. Se ha reservado el identificador CVE-2019-10956 para esta vulnerabilidad.
  • Una incorrecta validación en los parámetros de entrada de usuario podría permitir a un atacante remoto autenticado con acceso a la configuración de red introducir comandos del sistema al servidor, logrando ejecutar código remoto como root. Se ha reservado el identificador CVE-2019-10958 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSA-19-155-03) Geutebrück G-Cam and G-Code
Etiquetas