Dos nuevos avisos de seguridad
Múltiples vulnerabilidades en Unitree Robotics A1
Unitree Robotics A1, versión 1.16.
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a Unitree Robotics A1 1.16, las cuales han sido descubiertas por Alberto Miguel Diez y Adrián Campazas Vega del Grupo de Robótica de la Universidad de León.
A estas vulnerabilidades se les ha asignado las siguientes puntuaciones base CVSS v3.1, vectores del CVSS y tipos de vulnerabilidad CWE:
- CVE-2023-3103: CVSS v3.1: 8.0 | CVSS: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-290.
- CVE-2023-3104: CVSS v3.1: 5.7 | CVSS: AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-306.
El robot afectado se encuentra en la etapa de discontinuación. El fabricante recomienda modificar la contraseña de red predeterminada, así como deshabilitar las funciones de red si no son necesarias.
- CVE-2023-3103: vulnerabilidad de elusión de autenticación, cuya explotación podría permitir a un atacante local realizar un ataque Man-in-the-Middle (MITM) sobre el flujo de vídeo de la cámara del robot. Además, si se lleva a cabo un ataque MITM, es posible consumir los recursos del robot, lo que podría provocar una condición de denegación de servicio (DOS).
- CVE-2023-3104: vulnerabilidad de falta de autenticación. Un usuario local no autenticado es capaz de ver a través de las cámaras haciendo uso del servidor web debido a la falta de cualquier forma de autenticación.
Ejecución de código arbitrario en Duet Display
Duet Display para Windows 10+, versión 2.5.9.1.
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta a Duet Display 2.5.9.1, una aplicación de escritorio remoto y duplicidad de pantallas, y que ha sido descubierta por Alexander Huamán Jaimes.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-6235: CVSS v3.1: 7.8 | CVSS: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CWE-427.
No hay solución reportada por el momento.
- CVE-2023-6235: se ha encontrado una vulnerabilidad de elemento de ruta de búsqueda no controlado en el producto Duet Display, que afecta a la versión 2.5.9.1. Un atacante podría colocar un archivo libusk.dll arbitrario en el directorio C:\Users\user\AppData\Local\Microsoft\WindowsApps\, lo que podría provocar la ejecución y persistencia de código arbitrario.