Un nuevo aviso de SCI
Múltiples vulnerabilidades en Gessler WEB-MASTER
WEB-MASTER, versión 7.9.
Felix Eberstaller y Nino Fürthauer, de Limes Security, han reportado 2 vulnerabilidades en el sistema de gestión del alumbrado de emergencia WEB-MASTER de Gessler. La explotación de estas vulnerabilidades, una crítica y otra media, podría permitir a un usuario tomar el control de la gestión web del dispositivo, así como extraer y romper los hashes de las contraseñas de todos los usuarios almacenados en el dispositivo (en caso de tener acceso al mismo).
El fabricante recomienda actualizar EZ2 a la versión 3.2 o superiores, y WebMaster a la versión 4.4 o superiores.
WEB-MASTER tiene una cuenta de restauración que utiliza credenciales débiles en texto plano, lo que podría permitir a un atacante controlar la gestión web del dispositivo. Se ha asignado el identificador CVE-2024-1039 para esta vulnerabilidad crítica.
La vulnerabilidad media tiene asignada el identificador CVE-2024-1040.