Múltiples vulnerabilidades en EFACEC BCU 500
Fecha de publicación 20/12/2023
Importancia
5 - Crítica
Recursos Afectados
BCU 500, versión 4.07.
Descripción
Aarón Flecha Menéndez, investigador de S21sec, ha reportado 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan al producto BCU 500 de EFACEC y cuya explotación podría permitir a un atacante causar una condición de denegación de servicio (DoS) o comprometer la aplicación web mediante un Cross-Site Request Forgery (CSRF)
Solución
Actualizar BCU 500 a la versión 4.08.
Detalle
- A través de la explotación de sesiones de usuario activas de la vulnerabilidad crítica, un atacante podría enviar peticiones personalizadas para causar una condición DoS en el dispositivo. Se ha asignado el identificador CVE-2023-50707 para esta vulnerabilidad.
- Un ataque CSRF para explotar la vulnerabilidad alta podría forzar al usuario a realizar peticiones de cambio de estado en la aplicación. Si la víctima es una cuenta administrativa, este ataque podría comprometer toda la aplicación web. Se ha asignado el identificador CVE-2023-6689 para esta vulnerabilidad.
Listado de referencias
