Vulnerabilidad en Bosch BT (CVE-2023-35867)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

18/12/2023

Última modificación:

22/12/2023

Descripción

Un manejo inadecuado de paquetes de respuesta API con formato incorrecto para clientes API en productos de software Bosch BT puede permitir que un atacante no autenticado provoque una situación de denegación de servicio (DoS). Para aprovechar esta vulnerabilidad, un atacante debe reemplazar un servidor API existente, por ejemplo mediante ataques Man-in-the-Middle.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

5.90

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:bosch:building_integration_system_video_engine::::::::		5.0.1 (incluyendo)
cpe:2.3:a:bosch:bosch_video_management_system::::::::		12.0 (incluyendo)
cpe:2.3:a:bosch:video_management_system_viewer::::::::		12.0 (incluyendo)
cpe:2.3:a:bosch:configuration_manager::::::::		7.62 (incluyendo)
cpe:2.3:o:bosch:divar_ip_7000_r2_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_7000_r2:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_4000_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_all-in-one_4000:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_5000_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_all-in-one_5000:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_6000_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_all-in-one_6000:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_7000_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_all-in-one_7000:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_7000_r3_firmware::::::::		12.0 (incluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://psirt.bosch.com/security-advisories/BOSCH-SA-092656-BT.html

CPE	Desde	Hasta
cpe:2.3:a:bosch:building_integration_system_video_engine::::::::		5.0.1 (incluyendo)
cpe:2.3:a:bosch:bosch_video_management_system::::::::		12.0 (incluyendo)
cpe:2.3:a:bosch:video_management_system_viewer::::::::		12.0 (incluyendo)
cpe:2.3:a:bosch:configuration_manager::::::::		7.62 (incluyendo)
cpe:2.3:o:bosch:divar_ip_7000_r2_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_7000_r2:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_4000_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_all-in-one_4000:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_5000_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_all-in-one_5000:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_6000_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_all-in-one_6000:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_7000_firmware::::::::		12.0 (incluyendo)
cpe:2.3:h:bosch:divar_ip_all-in-one_7000:-:::::::*
cpe:2.3:o:bosch:divar_ip_all-in-one_7000_r3_firmware::::::::		12.0 (incluyendo)