Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Gestión incorrecta de autenticación y control de accesos en productos Tecson/GOK

Fecha de publicación 05/06/2019
Importancia
5 - Crítica
Recursos Afectados
  • LX-Net
  • LX-Q-Net
  • e-litro net
  • SmartBox4 LAN
  • SmartBox4 pro LAN
Descripción

El investigador Maxim Rupp (rupp.it) ha reportado una vulnerabilidad en los productos de Tecson/GOK que afecta a la forma de gestionar el control de accesos y la autenticación.

Solución
  • Actualizar el firmware de los dispositivos a una versión posterior a la 6.3.x
Detalle
  • La aplicación no gestiona de forma adecuada los accesos a los recursos web, permitiendo el acceso a ciertos recursos sin necesidad de una autenticación. Esta vulnerabilidad permitiría a un atacante remoto acceder a recursos localizados en rutas específicas (URL) del servidor web, sin necesidad de estar autenticado. El acceso directo a estos recursos permite el control total del servidor web, pudiendo realizar cambios en la configuración y los ajustes de los dispositivos, como contraseñas, parámetros o alertas. Se ha reservado el identificador CVE-2019-12254 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
TECSON/GOK Improper Authentication and Access Control on multiple devices
Etiquetas