Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en dispositivos Sharp y Toshiba

Fecha de publicación 31/05/2024
Identificador
INCIBE-2024-0290
Importancia
5 - Crítica
Recursos Afectados

Dispositivos multifunción (MFP) de los fabricantes Sharp y Toshiba.

Los modelos y versiones afectados pueden consultarse en los enlaces oficiales de los fabricantes incluidos en las referencias.

Descripción

Varios investigadores han reportado información sobre múltiples vulnerabilidades de distinta severidad que afectan a varios productos multifuncion de los fabricantes Sharp y Toshiba. La explotación de estas vulnerabilidades podría permitir a un atacante provocar una condición de denegación de servicio (DoS), ejecutar código arbitrario o acceder a escalar privilegios para acceder a información sensible.

Solución

Aplicar la actualización de firmware adecuada, según la información facilitada por los respectivos fabricantes.

Detalle

Las vulnerabilidades de severidad crítica se describen a continuación:

  • CVE-2024-28038: algunas páginas web de dispositivos pueden causar desbordamiento de búfer basado en pila.
  • CVE-2024-33610: algunas páginas web de dispositivos tienen una autoridad indebida de control de acceso.
  • CVE-2024-35244: la información de las credenciales para ejecutar algunas funciones del dispositivo está codificada y puede ser explotada por atacantes que hayan obtenido la información de las credenciales de forma indebida.
  • CVE-2024-36248: la información de credenciales para acceder a sitios externos está codificada en texto claro y puede ser explotada por atacantes que hayan obtenido la información de credenciales de forma indebida.