Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Wiesemann & Theis

Fecha de publicación 08/11/2022
Identificador

INCIBE-2022-1004

Importancia
5 - Crítica
Recursos Afectados
  • Versiones anteriores a 1.48 de los productos:
    • AT-Modem-Emulator,
    • Com-Server ++,
    • Com-Server 20mA,
    • Com-Server LC,
    • Com-Server PoE 3 x Isolated,
    • Com-Server UL.
  • Versiones anteriores a 1.76 de los productos:
    • Com-Server Highspeed 100BaseFX,
    • Com-Server Highspeed 100BaseLX,
    • Com-Server Highspeed 19" 1Port,
    • Com-Server Highspeed 19" 4Port,
    • Com-Server Highspeed Compact,
    • Com-Server Highspeed Industry,
    • Com-Server Highspeed Isolated,
    • Com-Server Highspeed OEM,
    • Com-Server Highspeed Office 1 Port,
    • Com-Server Highspeed Office 4 Port,
    • Com-Server Highspeed PoE.
Descripción

CERT@VDE, en coordinación con Wiesemann & Theis, ha publicado 3 vulnerabilidades en la interfaz web: 2 de severidad crítica y 1 de severidad alta.

Solución

Actualizar:

  • Com-Server Family a las versiones 1.48 o superiores,
  • Com-Server Highspeed Family a las versiones 1.76 o superiores.
Detalle

Las vulnerabilidades críticas se describen a continuación:

  • El uso de un espacio de números pequeños para asignar los identificadores de sesión podría permitir a un atacante remoto no autenticado forzar el identificador de sesión y obtener acceso a una cuenta en el dispositivo. Se ha asignado el identificador CVE-2022-42787 para esta vulnerabilidad.
  • Un atacante remoto no autenticado podría iniciar la sesión sin conocer la contraseña enviando una petición HTTP GET maliciosa, omitiendo de esta manera el proceso de autenticación. Se ha asignado el identificador CVE-2022-42785 para esta vulnerabilidad.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2022-42786.

Encuesta valoración