Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Divulgación de información en Texas Instruments CC3200 SimpleLink

Fecha de publicación 17/02/2022
Importancia
3 - Media
Recursos Afectados
  • Texas Instruments CC3200 SimpleLink Solution NWP 2.9.0.0;
  • Sealevel Systems, Inc. SeaConnect 370W 1.3.34
Descripción

Francesco Benvenuto y Matt Wiseman, investigadores de Cisco Talos, han identificado una vulnerabilidad de severidad media que podría permitir la divulgación de información.

Solución

Actualizar a versiones posteriores a las afectadas.

Detalle

La funcionalidad HTTP Server /ping.html del producto afectado incluye una página web habilitada por defecto que atiende ciertas peticiones HTTP sin involucrar nunca al procesador de aplicaciones. Un atacante podría enviar una petición HTTP especialmente diseñada y causar una lectura no inicializada. La información filtrada podría contener contraseñas y tokens, o podría utilizarse para eludir la mitigación de exploits mediante el filtrado de direcciones o stack cookies. Se ha asignado el identificador CVE-2021-21966 para esta vulnerabilidad.

Encuesta valoración