Múltiples vulnerabilidades en productos de Secomea
Fecha de publicación 23/02/2021
Importancia
4 - Alta
Recursos Afectados
- GateManager, todas las versiones anteriores a la 9.4;
- SiteManager, todas las versiones anteriores a la 9.4.
Descripción
Tenable ha reportado dos vulnerabilidades de severidad alta y otra de severidad media que podrían permitir a un atacante inyectar código XSS, acceder a información confidencial o instalar puertas traseras en el dispositivo, respectivamente.
Solución
Actualizar a la versión 9.4 siguiendo las referencias adicionales para GateManager y SiteManager.
Detalle
- Una vulnerabilidad de XSS reflejado relacionada con el parámetro “op” en gui.cgi de GateManager, podría permitir a un atacante inyectar código JavaScript arbitrario para que se ejecute en el navegador del usuario al navegar a la URL especialmente diseñada. Se ha asignado el identificador CVE- 2020-29028 para esta vulnerabilidad de severidad media.
- Una vulnerabilidad podría permitir a un atacante obtener información confidencial de la URL de ruta de todas las peticiones POST/GET después de que un usuario se haya autenticado en GateManager, ya que el token de autenticación queda expuesto de forma predeterminada. Se ha asignado el identificador CVE-2020-29030 para esta vulnerabilidad de severidad alta.
- Una vulnerabilidad en SiteManager podría permitir a un atacante, con permisos de nivel de operador de servicio, instalar firmware manipulado y así, instalar una puerta trasera en el dispositivo.
Listado de referencias
Etiquetas