Múltiples vulnerabilidades en GateManager de Secomea
Fecha de publicación 29/07/2020
Importancia
5 - Crítica
Recursos Afectados
GateManager, servidor VPN, versiones anteriores a la 9.2c.
Descripción
Sharon Brizinov y Tal Keren, de Claroty, han reportado al CISA vulnerabilidades que podrían permitir a un atacante enviar un valor negativo y sobrescribir datos arbitrarios, ejecutar código arbitrario de manera remota, provocar la denegación del servicio, ejecutar comandos como root o visualizar contraseñas.
Solución
Actualizar a las últimas versiones, disponibles en la página web de Secomea.
Detalle
- La neutralización incorrecta de los caracteres o los bytes null podría permitir a un atacante enviar un valor negativo o sobrescribir información arbitraria. Se ha reservado el identificador CVE-2020-14500 para esta vulnerabilidad.
- Un error off-by-one podría permitir a un atacante remoto ejecutar código arbitrario o provocar la denegación del servicio. Se ha reservado el identificador CVE-2020-14508 para esta vulnerabilidad.
- La utilización de contraseñas embebidas podría permitir a un atacante ejecutar comandos como root. Se ha reservado el identificador CVE-2020-14510 para esta vulnerabilidad.
- La utilización de hash de contraseñas débiles podría permitir a un atacante ver contraseñas de usuario. Se ha reservado el identificador CVE-2020-14512 para esta vulnerabilidad.
Listado de referencias
Etiquetas