Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en OvrC Pro de Snap One

Fecha de publicación 17/05/2023
Identificador

INCIBE-2023-0176

Importancia
4 - Alta
Recursos Afectados

OvrC Pro, versión 7.1.

Descripción

Uri Katz de Claroty ha informado de que existen 8 vulnerabilidades: 7 de severidad alta y 1 de severidad media, que podrían permitir que un atacante suplante y reclame dispositivos, ejecute código arbitrario y divulgue información sobre el dispositivo afectado.

Solución

Snap One ha lanzado las siguientes actualizaciones:

  • OvrC Pro v7.2 y v7.3 se ha enviado automáticamente a los dispositivos para que se actualicen a través de la nube de OvrC.
  • Se recomienda deshabilitar UPnP.

Para más información, ver las referencias.

Detalle

Las vulnerabilidades de severidad alta detectadas se corresponden con los siguientes tipos:

  • validación de entrada incorrecta (CVE-2023-28649),
  • control de acceso inadecuado (CVE-2023-31241),
  • transmisión de texto sin cifrar de información confidencial (CVE-2023-31193),
  • verificación insuficiente de la autenticidad de los datos (CVE-2023-28386),
  • redirección de URL a un sitio que no es de confianza (CVE-2023-31245),
  • uso de credenciales codificadas (CVE-2023-31240),
  • funcionalidad oculta (CVE-2023-25183).

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2023-28412.