Vulnerabilidad en HMS Networks Cosy+ (CVE-2024-33897)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-425
Petición directa de recurso web
Fecha de publicación:
06/08/2024
Última modificación:
10/10/2024
Descripción
Un dispositivo HMS Networks Cosy+ comprometido podría usarse para solicitar una solicitud de firma de certificado de Talk2m para otro dispositivo, lo que generaría un problema de disponibilidad. El problema se solucionó en el servidor de producción de Talk2m el 18 de abril de 2024.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:hms-networks:ewon_cosy\+_firmware:*:*:*:*:*:*:*:* | 21.0s0 (incluyendo) | 21.2s10 (excluyendo) |
| cpe:2.3:o:hms-networks:ewon_cosy\+_firmware:*:*:*:*:*:*:*:* | 22.0s0 (incluyendo) | 22.1s3 (excluyendo) |
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_apac:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_eu:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_jp:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_na:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_ethernet:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_wifi:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.syss.com/posts/hacking-a-secure-industrial-remote-access-gateway/
- https://hmsnetworks.blob.core.windows.net/nlw/docs/default-source/products/cybersecurity/security-advisory/hms-security-advisory-2024-07-29-001--ewon-several-cosy--vulnerabilities.pdf
- https://www.ewon.biz/products/cosy/ewon-cosy-wifi
- https://www.hms-networks.com/cyber-security