Gestión incorrecta de autenticación y control de accesos en productos Tecson/GOK
Fecha de publicación
05/06/2019
Importancia
5 - Crítica
Recursos Afectados
- LX-Net
- LX-Q-Net
- e-litro net
- SmartBox4 LAN
- SmartBox4 pro LAN
Descripción
El investigador Maxim Rupp (rupp.it) ha reportado una vulnerabilidad en los productos de Tecson/GOK que afecta a la forma de gestionar el control de accesos y la autenticación.
Solución
- Actualizar el firmware de los dispositivos a una versión posterior a la 6.3.x
Detalle
- La aplicación no gestiona de forma adecuada los accesos a los recursos web, permitiendo el acceso a ciertos recursos sin necesidad de una autenticación. Esta vulnerabilidad permitiría a un atacante remoto acceder a recursos localizados en rutas específicas (URL) del servidor web, sin necesidad de estar autenticado. El acceso directo a estos recursos permite el control total del servidor web, pudiendo realizar cambios en la configuración y los ajustes de los dispositivos, como contraseñas, parámetros o alertas. Se ha reservado el identificador CVE-2019-12254 para esta vulnerabilidad.
Listado de referencias
Etiquetas