Divulgación de información en Texas Instruments CC3200 SimpleLink
- Texas Instruments CC3200 SimpleLink Solution NWP 2.9.0.0;
- Sealevel Systems, Inc. SeaConnect 370W 1.3.34
Francesco Benvenuto y Matt Wiseman, investigadores de Cisco Talos, han identificado una vulnerabilidad de severidad media que podría permitir la divulgación de información.
Actualizar a versiones posteriores a las afectadas.
La funcionalidad HTTP Server /ping.html del producto afectado incluye una página web habilitada por defecto que atiende ciertas peticiones HTTP sin involucrar nunca al procesador de aplicaciones. Un atacante podría enviar una petición HTTP especialmente diseñada y causar una lectura no inicializada. La información filtrada podría contener contraseñas y tokens, o podría utilizarse para eludir la mitigación de exploits mediante el filtrado de direcciones o stack cookies. Se ha asignado el identificador CVE-2021-21966 para esta vulnerabilidad.