Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad de identificación inadecuada en múltiples productos de la serie COMTRAXX de Bender

Fecha de publicación 19/10/2020
Importancia
4 - Alta
Recursos Afectados

Todos los dispositivos que ejecutan el software COMTRAXX están afectados por esta vulnerabilidad. Concretamente, las versiones anteriores a 4.2.0 de los siguientes productos:

  • COM465IP, número de orden B95061065 y B95061066;
  • COM465DP, número de orden B95061060 y B95061061;
  • COM465ID, número de orden B95061070;
  • CP700, número de orden B95061030;
  • CP907, número de orden B95061080;
  • CP915, número de orden B95061081, B95061085 y B95061092.
Descripción

El investigador, Maxim Rupp, coordinado por el CERT@VDE, ha identificado una vulnerabilidad, de tipo identificación inadecuada, en distintos productos de la serie COMTRAXX de Bender, que ha reportado al propio fabricante.

Solución

Actualizar a la versión 4.2.0.

Detalle

La autorización del usuario está validada para la mayoría de las rutas del sistema, pero no para todas. Un atacante que posea conocimientos sobre las rutas podría leer y escribir datos de configuración sin autorización previa, omitiendo de esta manera la verificación de credenciales. Se ha asignado el identificador CVE-2019-19885 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
BENDER: COMTRAXX - Inadequate credentials check
Etiquetas