Múltiples vulnerabilidades en Bosch Rexroth ctrlX HMI Web Panel WR21
Todas las versiones de ctrlX HMI Web Panel - WR21, productos:
- WR2107,
- WR2110,
- WR2115.
Diego Giubertoni, investigador de Nozomi Networks, ha reportado 9 vulnerabilidades de severidad alta, que afectan al sistema operativo de ctrlX WR21 HMI. Un atacante con acceso físico al dispositivo podría obtener acceso root completo sin autenticación previa, combinando la explotación de estas vulnerabilidades.
El fabricante informa que en breve se publicará una versión actualizada del firmware y recomienda a los usuarios actualizar a esa versión en cuanto esté disponible. Hasta entonces, se aconseja no usar Android Agent y tampoco Google Chrome en modo Kiosk (se puede sustituir por la aplicación WebStation).
Además, la aplicación Android Agent se eliminará por completo.
Las vulnerabilidades detectadas son de los siguientes tipos:
- falta de autenticación para función crítica (CVE-2023-41255, CVE-2023-45220 y CVE-2023-45851);
- uso de credenciales en texto claro (CVE-2023-41372 y CVE-2023-46102);
- exportación incorrecta de componentes de aplicaciones Android (CVE-2023-41960);
- falta de comprobación de acceso (CVE-2023-43488);
- transmisión de información en texto claro (CVE-2023-45321);
- gestión de acceso inadecuado (CVE-2023-45844).
