Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Conexiones no deseadas en productos de Pimax

Fecha de publicación 05/08/2024
Identificador
INCIBE-2024-0386
Importancia
5 - Crítica
Recursos Afectados
  • Pimax Play, versiones anteriores a V1.21.01;
  • PiTool, todas las versiones.
Descripción

Rei Yano ha informado de una vulnerabilidad de severidad critica que podría aceptar conexiones WebSocket desde puntos finales no deseados.

Solución

Actualizar el software de Pimax Play a la última versión según la información proporcionada por el desarrollador.

Dejar de usar el producto, según indicaciones del desarrollador, ya que PiTool ya no recibe soporte. 

Detalle

La vulnerabilidad de severidad crítica es de tipo restricción inadecuada del canal de comunicación a los puntos finales previstos. Esta vulnerabilidad podría derivar en una falsificación del punto final previsto desde un sistema o proceso diferente, obteniendo así el mismo nivel de acceso que el punto final previsto. 

Se ha asignado el identificador CVE-2024-41889 para esta vulnerabilidad.