Múltiples vulnerabilidades en productos de Electrolink
Fecha de publicación 17/04/2024
Identificador
INCIBE-2024-0193
Importancia
4 - Alta
Recursos Afectados
- 10W, 100W, 250W, Compact DAB Transmitter;
- 500W, 1kW, 2kW Medium DAB Transmitter;
- 2.5kW, 3kW, 4kW, 5kW High Power DAB Transmitter;
- 100W, 500W, 1kW, 2kW Compact FM Transmitter;
- 3kW, 5kW, 10kW, 15kW, 20kW, 30kW Modular FM Transmitter;
- 15W - 40kW Digital FM Transmitter;
- BI, BIII VHF TV Transmitter;
- 10W - 5kW UHF TV Transmitter.
Descripción
Gjoko Krstic ha reportado 7 vulnerabilidades: 6 de severidad alta y 1 de severidad media que podrían permitir a un atacante obtener acceso completo al sistema, evitar que el dispositivo transmita, escalar privilegios, cambiar credenciales y ejecutar código arbitrario.
Solución
Se recomienda a los usuarios de los productos afectados que se comuniquen con Electrolink para obtener información adicional.
Detalle
Las vulnerabilidades de severidad alta se clasifican en las siguientes tipologías:
- Omisión de autenticación mediante datos supuestamente inmutables (CVE-2024-3741 y CVE-2024-22179).
- Dependencia de cookies sin validación ni verificación de integridad (CVE-2024-22186 y CVE-2024-21872).
- Falta autenticación para función crítica (CVE-2024-1491).
- Almacenamiento en texto claro de información confidencial (CVE-2024-3742).
Se ha asignado el identificador CVE-2024-21846 para la vulnerabilidad de severidad media.
Listado de referencias