Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de Bosch

Fecha de publicación 14/12/2023
Identificador
INCIBE-2023-0563
Importancia
4 - Alta
Recursos Afectados
  • Bosch Camera Firmware en CPP13, versiones anteriores a 8.90,
  • Bosch Camera Firmware en CPP14, versiones desde la 8.20 a la 8.81 (incluidas),
  • Bosch BIS Video Engine, versiones anteriores a 5.0.1,
  • Bosch BVMS, versiones anteriores a 12.0.0,
  • Bosch BVMS Viewer, versiones anteriores a 12.0.0,
  • Bosch Configuration Manager, versiones anteriores a 7.62,
  • Bosch DIVAR IP 7000 R2, versiones anteriores a 12.0.0,
  • Bosch DIVAR IP all-in-one 4000, versiones anteriores a 12.0.0,
  • Bosch DIVAR IP all-in-one 5000, versiones anteriores a 12.0.0,
  • Bosch DIVAR IP all-in-one 6000, versiones anteriores a 12.0.0,
  • Bosch DIVAR IP all-in-one 7000, versiones anteriores a 12.0.0,
  • Bosch DIVAR IP all-in-one 7000 R3, versiones anteriores a 12.0.0,
  • Bosch Intelligent Insights, versiones anteriores a 1.0.3.14,
  • Bosch Monitorwall, versiones anteriores a 10.00.0164,
  • Bosch ONVIF Camera Event Driver Tool, versiones anteriores a 2.0.0.8,
  • Bosch Project Assistant, versiones anteriores a 2.3,
  • Bosch VJD-7513, versiones anteriores a 10.40.0055,
  • Bosch VJD-7523, versiones anteriores a 10.40.0055,
  • Bosch Video Recording Manager, versiones anteriores a 04.10.0079,
  • Bosch Video Security Client, versiones anteriores a 3.3.5,
  • Bosch Video Streaming Gateway, versiones anteriores a 8.1.2.2 y desde 9.0.0 hasta 9.0.0.178 (incluidas).
Descripción

Bosch ha publicado 3 vulnerabilidades: 2 de severidad alta y 1 de severidad media. Su explotación podría permitir que un atacante, no autenticado, interrumpa las funciones normales y provoque una denegación de servicio (DoS) o permitir a un usuario autenticado con derechos administrativos, ejecutar comandos arbitrarios en el sistema operativo de la cámara.

Solución

Actualizar el software de Bosch afectado a una versión correctora. Si no es posible realizar una actualización de manera oportuna, se recomienda a los usuarios que sigan las mitigaciones y soluciones alternativas que se describen en el aviso oficial (ver el enlace en 'Referencias').

Detalle
  • La vulnerabilidad CVE-2023-32230 de severidad alta afecta a una gestión inadecuada de una solicitud API con formato incorrecto a un servidor API. Esto podría permitir que un atacante, no autenticado, provoque una situación de denegación de servicio (DoS).
  • La vulnerabilidad CVE-2023-39509 de severidad alta es de tipo inyección de comandos y podría permitir a un usuario autenticado con derechos administrativos ejecutar comandos arbitrarios en el sistema operativo de la cámara.

Se ha asignado el identificador CVE-2023-35867 para la vulnerabilidad de severidad media.