Múltiples vulnerabilidades en Bosch Rexroth ctrlX HMI Web Panel WR21

Fecha de publicación
26/10/2023
Importancia
4 - Alta
Recursos Afectados

Todas las versiones de ctrlX HMI Web Panel - WR21, productos:

  • WR2107,
  • WR2110,
  • WR2115.
Descripción

Diego Giubertoni, investigador de Nozomi Networks, ha reportado 9 vulnerabilidades de severidad alta, que afectan al sistema operativo de ctrlX WR21 HMI. Un atacante con acceso físico al dispositivo podría obtener acceso root completo sin autenticación previa, combinando la explotación de estas vulnerabilidades.

Solución

El fabricante informa que en breve se publicará una versión actualizada del firmware y recomienda a los usuarios actualizar a esa versión en cuanto esté disponible. Hasta entonces, se aconseja no usar Android Agent y tampoco Google Chrome en modo Kiosk (se puede sustituir por la aplicación WebStation).

Además, la aplicación Android Agent se eliminará por completo.

Detalle

Las vulnerabilidades detectadas son de los siguientes tipos:

  • falta de autenticación para función crítica (CVE-2023-41255, CVE-2023-45220 y CVE-2023-45851);
  • uso de credenciales en texto claro (CVE-2023-41372 y CVE-2023-46102);
  • exportación incorrecta de componentes de aplicaciones Android (CVE-2023-41960);
  • falta de comprobación de acceso (CVE-2023-43488);
  • transmisión de información en texto claro (CVE-2023-45321);
  • gestión de acceso inadecuado (CVE-2023-45844).

botón arriba