Múltiples vulnerabilidades en productos Bosch

Fecha de publicación 01/10/2020
Importancia
4 - Alta
Recursos Afectados
  • Bosch PRAESENSA, versiones 1.10 y anteriores;
  • Bosch PRAESIDEO, versiones 4.41 y anteriores.
Descripción

Bosch ha publicado 3 vulnerabilidades, 2 de severidad alta y una media, en sus productos PRAESIDEO Network Controller y en PRAESENSA System Controller que podrían permitir a un atacante realizar acciones arbitrarias o llevar a cabo ataques del tipo Cross-Site-Scripting (XSS) almacenado.

Solución
  • Actualizar a PRAESIDEO versión 4.42 y PRAESENSA versión 1.20.
  • Los controladores LBB4401/00 y PRS-NCO-B Network Controllers no pueden ser actualizados a PRAESIDEO 4.42, por lo que se recomienda aislar la red de la red pública. Si esto no fuera posible, se recomienda utilizar un firewall.
Detalle
  • Una vulnerabilidad en la interfaz de gestión basada en la web de Bosch PRAESIDEO y Bosch PRAESENSA podría permitir que un atacante remoto, no autenticado, realice acciones arbitrarias en un sistema en nombre de otro usuario (Cross-Site Request Forgery). Esto requiere que la víctima sea engañada para que haga clic en un enlace malicioso o envíe un formulario malicioso. Se ha asignado el identificador CVE-2020-6776 para esta vulnerabilidad de severidad alta.
  • El servidor web GoAhead utilizado en Bosch PRAESIDEO no protege adecuadamente contra los ataques de repetición de intentos en la autenticación de HTTP Digest. Se ha asignado el identificador CVE-2020-15688 para esta vulnerabilidad de severidad alta.
  •     Una vulnerabilidad en la interfaz de gestión basada en la web de Bosch PRAESIDEO y Bosch PRAESENSA podría permitir que un atacante remoto autenticado, con privilegios de administrador, realice un ataque Cross-Site-Scripting (XSS) almacenado contra otro usuario. Cuando la víctima se conecta a la interfaz de gestión, el código almacenado se ejecuta en el contexto de su navegador. Se ha asignado el identificador CVE-2020-6777 para esta vulnerabilidad de severidad media.

Encuesta valoración