Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Control de acceso inadecuado en productos de By Demes Group

Fecha de publicación 28/06/2023
Identificador

INCIBE-2023-0243

Importancia
4 - Alta
Recursos Afectados

Panel de Control de Cámaras de Airspace CCTV, versión 2.616.BY00.11

Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad que afecta al panel desde el que se gestionan varios modelos de cámaras CCTV de By Demes Group, la cual ha sido descubierta por Camilo Andrés Bruna de Zerolynx.

A esta vulnerabilidad se le ha asignado el código:

CVE-2023-0506:

  • Puntuación base CVSS v3.1: 8.8.
  • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H,
  • Tipo de vulnerabilidad: CWE-284: Control de Acceso Inadecuado.
Solución

La vulnerabilidad reportada ya ha sido solucionada por parte del equipo de seguridad de By Demes Group. Se recomienda a los usuarios afectados actualizar a la última versión disponible.

By Demes Group recuerda que los dispositivos afectados se encuentran en el fin de su vida útil y ya no son soportados, por lo que se recomienda actualizar a un modelo más moderno.

Detalle

CVE-2023-0506: el servicio web de los dispositivos afectados en su versión 2.616.BY00.11, contiene una vulnerabilidad de escalada de privilegios, detectada en el Panel de Control de Cámaras, cuya explotación podría permitir a un atacante con pocos privilegios obtener acceso como administrador.