Múltiples vulnerabilidades en productos de Cires21
Fecha de publicación 17/01/2024
Identificador
INCIBE-2024-0025
Importancia
5 - Crítica
Recursos Afectados
- C21 Live encoder y Live Mosaic, versión 5.3.
Descripción
INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad crítica que afectan a Cires21 Live Encoder y Live Mosaic, versión 5.3, una solución para la grabación de parrillas completas de canales de televisión, las cuales han sido descubiertas por Konrad Kowal Karp de Telefónica Tech.
A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad.
- CVE-2024-0642: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-284.
- CVE-2024-0643: 10 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CWE-434
Solución
Las vulnerabilidades han sido resueltas por el equipo de Cires21 en la última versión de software de los productos afectados, la cual ha sido lanzada la última semana de noviembre.
Detalle
- CVE-2024-0642: control de acceso inadecuado en el producto C21 Live Encoder y Live Mosaic, versión 5.3. Esta vulnerabilidad permite que un atacante remoto acceda a la aplicación como usuario administrador a través del punto final de la aplicación, debido a la falta de una gestión adecuada de las credenciales.
- CVE-2024-0643: carga no restringida de archivos de tipo peligroso en el producto C21 Live Encoder y Live Mosaic, versión 5.3. Esta vulnerabilidad permite a un atacante remoto cargar diferentes extensiones de archivo sin ninguna restricción, lo que da lugar a un compromiso total del sistema.
Listado de referencias
Etiquetas