Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en EFACEC BCU 500

Fecha de publicación 20/12/2023
Identificador
INCIBE-2023-0575
Importancia
5 - Crítica
Recursos Afectados

BCU 500, versión 4.07.

Descripción

Aarón Flecha Menéndez, investigador de S21sec, ha reportado 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan al producto BCU 500 de EFACEC y cuya explotación podría permitir a un atacante causar una condición de denegación de servicio (DoS) o comprometer la aplicación web mediante un Cross-Site Request Forgery (CSRF)

Solución

Actualizar BCU 500 a la versión 4.08.

Detalle
  • A través de la explotación de sesiones de usuario activas de la vulnerabilidad crítica, un atacante podría enviar peticiones personalizadas para causar una condición DoS en el dispositivo. Se ha asignado el identificador CVE-2023-50707 para esta vulnerabilidad.
  • Un ataque CSRF para explotar la vulnerabilidad alta podría forzar al usuario a realizar peticiones de cambio de estado en la aplicación. Si la víctima es una cuenta administrativa, este ataque podría comprometer toda la aplicación web. Se ha asignado el identificador CVE-2023-6689 para esta vulnerabilidad.
Listado de referencias
ICSA-23-353-02 - EFACEC BCU 500
Etiquetas