Control de acceso inadecuado en productos de By Demes Group
INCIBE-2023-0243
Panel de Control de Cámaras de Airspace CCTV, versión 2.616.BY00.11
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta al panel desde el que se gestionan varios modelos de cámaras CCTV de By Demes Group, la cual ha sido descubierta por Camilo Andrés Bruna de Zerolynx.
A esta vulnerabilidad se le ha asignado el código:
CVE-2023-0506:
- Puntuación base CVSS v3.1: 8.8.
- Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H,
- Tipo de vulnerabilidad: CWE-284: Control de Acceso Inadecuado.
La vulnerabilidad reportada ya ha sido solucionada por parte del equipo de seguridad de By Demes Group. Se recomienda a los usuarios afectados actualizar a la última versión disponible.
By Demes Group recuerda que los dispositivos afectados se encuentran en el fin de su vida útil y ya no son soportados, por lo que se recomienda actualizar a un modelo más moderno.
CVE-2023-0506: el servicio web de los dispositivos afectados en su versión 2.616.BY00.11, contiene una vulnerabilidad de escalada de privilegios, detectada en el Panel de Control de Cámaras, cuya explotación podría permitir a un atacante con pocos privilegios obtener acceso como administrador.