Exposición de información en CAP/PRX de SITEL
CAP/PRX, versión de firmware 5.2.01.
INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo CAP/PRX, del fabricante SITEL, con el código interno INCIBE-2021-0178, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, mención especial a Aarón Flecha Menéndez y Luis Martín Liras, como investigador independiente.
A esta vulnerabilidad se le ha asignado el código CVE-2021-32453. Se ha calculado una puntuación base CVSS v3.1 de 6,5; siendo el cálculo del CVSS el siguiente: AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H.
La corrección de esta vulnerabilidad está disponible a partir de la versión 1.2 de la plataforma CAP-PRX-NG.
Es posible acceder vía HTTP a la base de datos interna de configuración del dispositivo. También es posible acceder a diferentes archivos de configuración que proporcionan información sobre el dispositivo y su sistema operativo.
Un atacante con acceso a la red local donde se encuentra el dispositivo podría descargar la base de datos y obtener información sobre la configuración del dispositivo.
Esta vulnerabilidad ha sido corregida en los productos afectados a través de los procesos de mejora continua por parte de SITEL.
CWE-306: Falta autenticación para función crítica.
Línea temporal:
11/08/2017 – Divulgación de los investigadores.
02/10/2020 – Los investigadores contactan con INCIBE.
08/02/2021 – SITEL confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
13/05/20201 – INCIBE publica el aviso.
Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.
