Omisión de autenticación en Zebra ZTC
INCIBE-2023-0434
- Zebra Technologies ZTC ZT410-203dpi ZPL.
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta al modelo de impresora ZT410-203dpi ZPL, de Zebra Technologies, la cual ha sido descubierta por David Cámara Galindo.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2023-4957: CVSS v3.1: 5.4 | CVSS: AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N | CWE-288.
Las impresoras Zebra que ejecutan Link-OS v6.0 y versiones posteriores disponen de un modo protegido que protege la impresora de esta vulnerabilidad. La activación de este modo desactiva los cambios no autorizados y bloquea la configuración actual hasta que un administrador autorice las actualizaciones. Por defecto, el modo protegido está desactivado, ya que es necesario generar primero una contraseña.
NOTA: la impresora industrial ZT410 se dejó de fabricar el 1 de octubre de 2020. Las fechas de descontinuación del servicio y soporte son en septiembre y diciembre de 2025, dependiendo de la región. Encontrarás más información sobre la configuración de seguridad y las prácticas recomendadas, incluido el modo protegido, en las referencias.
- CVE-2023-4957: se ha encontrado una vulnerabilidad de omisión de autenticación en la impresora Zebra Technologies ZTC ZT410-203dpi ZPL. Esta vulnerabilidad permite a un atacante, que se encuentre en la misma red que la impresora, cambiar el nombre de usuario y la contraseña de la página web, enviando una solicitud POST especialmente diseñada al archivo setvarsResults.cgi. Para que esta vulnerabilidad sea explotable, el modo protegido de la impresora debe estar desactivado.