Múltiples vulnerabilidades en producto Cognex
Fecha de publicación 07/09/2022
Importancia
5 - Crítica
Recursos Afectados
Cognex 3D-A1000 Dimensioning System, versión de firmware 1.0.3 (3354) y anteriores.
Descripción
Tri Quach, Shanil Prasad, Brandon Park y Nishith Sinha, han reportado estas vulnerabilidades al CISA que podrían permitir a un atacante escalar privilegios o eludir los controles de acceso a la web.
Solución
Actualizar el producto afectado a la versión 1.2 PR2. Para más información, póngase en contacto con el centro de soporte de Cognex.
Detalle
- El producto afectado permite cambiar la contraseña de la cuenta del operador, a través de comandos del servidor web, mediante la monitorización de las comunicaciones del socket web desde una sesión no autenticada. Esto podría permitir a un atacante escalar privilegios hasta obtener los de la cuenta comprometida. Se ha asignado el identificador CVE-2022-1368 para esta vulnerabilidad.
- Un atacante podría crear registros falsos que muestren que la contraseña ha sido cambiada cuando no es así, complicando las labores forenses. Se ha asignado el identificador CVE-2022-1522 para esta vulnerabilidad.
- Los atacantes podrían eludir los controles de acceso a la web inspeccionando y modificando el código fuente de los elementos web protegidos por contraseña. Se ha asignado el identificador CVE-2022-1525 para esta vulnerabilidad.
Listado de referencias
Etiquetas