Múltiples vulnerabilidades en Eurotel ETL3100
Fecha de publicación 20/12/2023
Identificador
INCIBE-2023-0577
Importancia
5 - Crítica
Recursos Afectados
- ETL3100, versiones v01c01 y v01x37.
Descripción
Se han publicado 2 vulnerabilidades de severidad crítica, y una de severidad alta, después de que CISA haya descubierto una prueba de concepto pública del autor Gjoko Krstic. La explotación de las vulnerabilidades podría permitir a un atacante, no autenticado, obtener acceso completo al sistema, revelar información sensible o acceder a recursos ocultos.
Solución
Se invita a los usuarios de las versiones afectadas de ETL3100 a ponerse en contacto con el servicio de atención al cliente de EuroTel para obtener información adicional.
Detalle
- Vulnerabilidad de severidad crítica, por la cual no se limita el número de intentos para adivinar las credenciales administrativas en ataques de contraseña remota, podría permitir a un atacante obtener el control total del sistema. Se ha asignado el identificador CVE-2023-6928 para esta vulnerabilidad.
- Vulnerabilidad de severidad crítica, afecta a la configuración y descarga de registros no autenticada. Esto podría permitir al atacante revelar información sensible y ayudar a la omisión de autenticación, escalada de privilegios y acceso completo al sistema. Se ha asignado el identificador CVE-2023-6930 para esta vulnerabilidad.
- Las versiones afectadas de EuroTel ETL3100 son vulnerables a las referencias directas inseguras a objetos que se producen cuando la aplicación proporciona acceso directo a objetos basándose en la entrada suministrada por el usuario. Como resultado de esta vulnerabilidad de severidad alta, los atacantes pueden saltarse la autorización, acceder a los recursos ocultos del sistema y ejecutar funcionalidades privilegiadas. Se ha asignado el identificador CVE-2023-6929 para esta vulnerabilidad.
Listado de referencias