Múltiples vulnerabilidades en productos de Bosch
- Bosch Camera Firmware en CPP13, versiones anteriores a 8.90,
- Bosch Camera Firmware en CPP14, versiones desde la 8.20 a la 8.81 (incluidas),
- Bosch BIS Video Engine, versiones anteriores a 5.0.1,
- Bosch BVMS, versiones anteriores a 12.0.0,
- Bosch BVMS Viewer, versiones anteriores a 12.0.0,
- Bosch Configuration Manager, versiones anteriores a 7.62,
- Bosch DIVAR IP 7000 R2, versiones anteriores a 12.0.0,
- Bosch DIVAR IP all-in-one 4000, versiones anteriores a 12.0.0,
- Bosch DIVAR IP all-in-one 5000, versiones anteriores a 12.0.0,
- Bosch DIVAR IP all-in-one 6000, versiones anteriores a 12.0.0,
- Bosch DIVAR IP all-in-one 7000, versiones anteriores a 12.0.0,
- Bosch DIVAR IP all-in-one 7000 R3, versiones anteriores a 12.0.0,
- Bosch Intelligent Insights, versiones anteriores a 1.0.3.14,
- Bosch Monitorwall, versiones anteriores a 10.00.0164,
- Bosch ONVIF Camera Event Driver Tool, versiones anteriores a 2.0.0.8,
- Bosch Project Assistant, versiones anteriores a 2.3,
- Bosch VJD-7513, versiones anteriores a 10.40.0055,
- Bosch VJD-7523, versiones anteriores a 10.40.0055,
- Bosch Video Recording Manager, versiones anteriores a 04.10.0079,
- Bosch Video Security Client, versiones anteriores a 3.3.5,
- Bosch Video Streaming Gateway, versiones anteriores a 8.1.2.2 y desde 9.0.0 hasta 9.0.0.178 (incluidas).
Bosch ha publicado 3 vulnerabilidades: 2 de severidad alta y 1 de severidad media. Su explotación podría permitir que un atacante, no autenticado, interrumpa las funciones normales y provoque una denegación de servicio (DoS) o permitir a un usuario autenticado con derechos administrativos, ejecutar comandos arbitrarios en el sistema operativo de la cámara.
Actualizar el software de Bosch afectado a una versión correctora. Si no es posible realizar una actualización de manera oportuna, se recomienda a los usuarios que sigan las mitigaciones y soluciones alternativas que se describen en el aviso oficial (ver el enlace en 'Referencias').
- La vulnerabilidad CVE-2023-32230 de severidad alta afecta a una gestión inadecuada de una solicitud API con formato incorrecto a un servidor API. Esto podría permitir que un atacante, no autenticado, provoque una situación de denegación de servicio (DoS).
- La vulnerabilidad CVE-2023-39509 de severidad alta es de tipo inyección de comandos y podría permitir a un usuario autenticado con derechos administrativos ejecutar comandos arbitrarios en el sistema operativo de la cámara.
Se ha asignado el identificador CVE-2023-35867 para la vulnerabilidad de severidad media.