Múltiples vulnerabilidades en TEM Opera Plus FM Family Transmitter
Opera Plus FM Family Transmitter, versión 35.45.
El investigador Gjoko Krstic ha reportado al fabricante TEM 2 vulnerabilidades que afectan a su producto Opera Plus FM Family Transmitter, de severidades crítica y alta respectivamente, y cuya explotación podría permitir a un atacante remoto ejecutar código.
TEM no ha respondido a las peticiones de colaboración de CISA para solucionar estas vulnerabilidades. Se recomienda a los usuarios de los productos afectados que se pongan en contacto con el fabricante para obtener información adicional.
CISA recomienda a los usuarios aplicar medidas defensivas y de protección descritas en el apartado Mitigations de las referencias.
El transmisor de la familia TEM Opera Plus FM permite el acceso a un endpoint desprotegido que posibilita la carga de imágenes binarias del sistema de archivos MPFS sin autenticación. La vulnerabilidad crítica podría explotarse en esta feature para sobrescribir la memoria flash de programa que contiene las interfaces del servidor web y, de esta manera, ejecutar código arbitrario. Se ha asignado el identificador CVE-2024-41988 para esta vulnerabilidad.
La vulnerabilidad de severidad alta tiene asignada el identificador CVE-2024-41987.
