Múltiples vulnerabilidades en producto Cognex

Fecha de publicación
07/09/2022
Importancia
5 - Crítica
Recursos Afectados

Cognex 3D-A1000 Dimensioning System, versión de firmware 1.0.3 (3354) y anteriores.

Descripción

Tri Quach, Shanil Prasad, Brandon Park y Nishith Sinha, han reportado estas vulnerabilidades al CISA que podrían permitir a un atacante escalar privilegios o eludir los controles de acceso a la web.

Solución

Actualizar el producto afectado a la versión 1.2 PR2. Para más información, póngase en contacto con el centro de soporte de Cognex.

Detalle
  • El producto afectado permite cambiar la contraseña de la cuenta del operador, a través de comandos del servidor web, mediante la monitorización de las comunicaciones del socket web desde una sesión no autenticada. Esto podría permitir a un atacante escalar privilegios hasta obtener los de la cuenta comprometida. Se ha asignado el identificador CVE-2022-1368 para esta vulnerabilidad.
  • Un atacante podría crear registros falsos que muestren que la contraseña ha sido cambiada cuando no es así, complicando las labores forenses. Se ha asignado el identificador CVE-2022-1522 para esta vulnerabilidad.
  • Los atacantes podrían eludir los controles de acceso a la web inspeccionando y modificando el código fuente de los elementos web protegidos por contraseña. Se ha asignado el identificador CVE-2022-1525 para esta vulnerabilidad.

Encuesta valoración

botón arriba