Múltiples vulnerabilidades en WIC1200 de Full Compass Systems
WIC1200, versión 1.1.
INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad alta que afectan a WIC1200 versión 1.1, un dispositivo hardware para administración de sitios web, las cuales han sido descubiertas por HADESS.
A estas vulnerabilidades se le han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-0554: 5.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:L | CWE-79.
- CVE-2024-0555: 4.6 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:L/A:L | CWE-352.
- CVE-2024-0556: 7.1 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N | CWE-261.
No hay solución reportada por el momento.
CVE-2024-0554: Cross-Site scripting (XSS) en WIC1200, que afecta la versión 1.1. Un usuario autenticado podría almacenar una carga útil de JavaScript maliciosa en el parámetro model del dispositivo a través de ‘/setup/diags_ir_learn.asp’, lo que permitiría al atacante recuperar los detalles de la sesión de otro usuario.
CVE-2024-0555: Cross-site request forgery (CSRF) en WIC1200, que afecta la versión 1.1. Un usuario autenticado podría llevar a otro usuario a ejecutar acciones no deseadas dentro de la aplicación en la que inició sesión. Esta vulnerabilidad es posible debido a la falta de una implementación adecuada del token CSRF.
CVE-2024-0556: criptografía débil para contraseñas en WIC1200 que afecta la versión 1.1. Esta vulnerabilidad permite a un usuario remoto interceptar el tráfico y recuperar las credenciales de otro usuario y decodificarlas en base64, lo que permite al atacante ver las credenciales en texto sin formato.