Múltiples vulnerabilidades en Lynx 206-F2G de Westermo
Las siguientes versiones de Lynx 206-F2G están afectadas:
- Modelo L206-F2G1.
- Versión de firmware 4.24.
Aarón Flecha Menéndez, Iván Alonso Álvarez y Víctor Bello Cuevas han reportado 8 vulnerabilidades: 2 de severidad alta y 6 de severidad media. La explotación de estas vulnerabilidades podría permitir a un atacante acceder a la aplicación web, inyectar código arbitrario, ejecutar código malicioso, obtener información sensible o ejecutar una petición maliciosa.
Westermo recomienda seguir las mejores prácticas de endurecimiento, como restringir el acceso, desactivar los servicios no utilizados (reducción de la superficie de ataque), etc., para mitigar las vulnerabilidades notificadas. Para más información, consultar el enlace en la sección "Referencias".
La descripción de las vulnerabilidades de severidad alta es la siguiente:
- Un potencial atacante con acceso al dispositivo podría ejecutar código malicioso que podría afectar al correcto funcionamiento del dispositivo. Se ha asignado el identificador CVE-2023-45735 para esta vulnerabilidad.
- El token de falsificación de petición entre sitios en la petición puede ser predecible o fácil de adivinar, lo que permite a los atacantes elaborar una petición maliciosa, que podría ser activada por una víctima sin saberlo. En un ataque CSRF exitoso el atacante podría llevar al usuario víctima a realizar una acción involuntariamente. Se ha asignado el identificador CVE-2023-38579 para esta vulnerabilidad.
El resto de vulnerabilidades de severidad media pueden consultarse en el enlace en la sección "Referencias".
