Vulnerabilidad de validación de entrada incorrecta en ECOM100 Module de Host Engineering
- H0-ECOM100 Module:
- versiones de hardware 6x y anteriores con versiones de firmware 4.0.348 y anteriores;
- versiones de hardware 7x con versiones de firmware 4.1.113 y anteriores;
- versiones de hardware 9x con versiones de firmware 5.0.149 y anteriores.
- H2-ECOM100 Module:
- versiones de hardware 5x y anteriores con versiones de firmware 4.0.2148 y anteriores;
- versiones de hardware 8x con versiones de firmware 5.0.1043 y anteriores.
- H4-ECOM100 Module: versiones de firmware 4.0.2148 y anteriores,
Los productos sólo son vulnerables si el servidor web está habilitado, y está desactivado por defecto.
Uri Katz, investigador de Claroty, ha reportado una vulnerabilidad, de severidad alta, de tipo validación de entrada incorrecta.
Host Engineering recomienda a los usuarios que actualicen los dispositivos de campo afectados utilizando Live Update en su software NetEdit3. Además, el fabricante recomienda que si los productos afectados no pueden ser actualizados, la desactivación del servidor web sirve como una solución alternativa.
La longitud de los campos de entrada del producto afectado sólo se verifica en el lado del cliente cuando se reciben los datos de entrada del servidor web de configuración, lo que podría permitir a un atacante eludir dicha comprobación y enviar datos de entrada para bloquear el dispositivo. Se ha asignado el identificador CVE-2020-25195 para esta vulnerabilidad.