Múltiples vulnerabilidades en router 4G LTE Light Industrial M2M de NetComm Wireless
Fecha de publicación 10/08/2018
Importancia
5 - Crítica
Recursos Afectados
- Router 4G LTE Light Industrial M2M (NWL-25) con versión de firmware 2.0.29.11 y anteriores.
Descripción
El investigador Aditya K. Sood ha reportado al ICS-CERT varias vulnerabilidades de tipo Cross-site Scripting (XSS), Cross-site Request Forgery (CSRF) y exposición de información sensible que afectan al router 4G LTE Light Industrial M2M del fabricante NetComm Wireless. La explotación exitosa de estas vulnerabilidades permitiría a un atacante remoto obtener información sensible del dispositivo afectado.
Solución
NetComm Wireless ha publicado una nueva versión de firmware (NWL-25 versión de firmware 2.0.29.12_C) para solventar las vulnerabilidades que afectan al router 4G LTE Light Industrial M2M.
Enlace de descarga: https://support.netcommwireless.com/product/nwl-25#Firmware
Detalle
- El dispositivo permite acceder a los ficheros y perfiles de configuración sin necesidad de que un usuario este registrado. Se ha asignado el identificador CVE-2018-14782 para esta vulnerabilidad.
- El dispositivo no dispone de medidas de seguridad en el tratamiento de las sesiones. Esto permitiría a un atacante enviar una petición especialmente formada para que una víctima registrada dentro del producto afectado cambie la contraseña del dispositivo de forma remota. Se ha asignado el identificador CVE-2018-14783 para esta vulnerabilidad.
- Vulnerabilidad de cross-site scripting podría permitir a un atacante remoto ejecutar código arbitrario en el dispositivo. Se ha asignado el identificador CVE-2018-14784 para esta vulnerabilidad.
- El directorio de ficheros que posee el dispositivo se encuentra accesible sin necesidad de autenticación. Un atacante podría aprovecharse de esta vulnerabilidad para obtener información del dispositivo afectado y elaborar ataques más complejos. Se ha asignado el identificador CVE-2018-14785 para esta vulnerabilidad.
Listado de referencias
Etiquetas