Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Lynx 206-F2G de Westermo

Fecha de publicación 24/01/2024
Identificador
INCIBE-2024-0038
Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones de Lynx 206-F2G están afectadas:

  • Modelo L206-F2G1.
  • Versión de firmware 4.24.
Descripción

Aarón Flecha Menéndez, Iván Alonso Álvarez y Víctor Bello Cuevas han reportado 8 vulnerabilidades: 2 de severidad alta y 6 de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante acceder a la aplicación web, inyectar código arbitrario, ejecutar código malicioso, obtener información sensible o ejecutar una petición maliciosa.

Solución

Westermo recomienda seguir las mejores prácticas de endurecimiento, como restringir el acceso, desactivar los servicios no utilizados (reducción de la superficie de ataque), etc., para mitigar las vulnerabilidades notificadas. Para más información, consultar el enlace en la sección "Referencias".

Detalle

La descripción de las vulnerabilidades de severidad alta es la siguiente:

  • Un potencial atacante con acceso al dispositivo podría ejecutar código malicioso que podría afectar al correcto funcionamiento del dispositivo. Se ha asignado el identificador CVE-2023-45735 para esta vulnerabilidad.
  • El token de falsificación de petición entre sitios en la petición puede ser predecible o fácil de adivinar, lo que permite a los atacantes elaborar una petición maliciosa, que podría ser activada por una víctima sin saberlo. En un ataque CSRF exitoso el atacante podría llevar al usuario víctima a realizar una acción involuntariamente. Se ha asignado el identificador CVE-2023-38579 para esta vulnerabilidad.

El resto de vulnerabilidades de severidad media pueden consultarse en el enlace en la sección "Referencias".

Listado de referencias