[Actualización 19/01/2023] Múltiples vulnerabilidades en productos Bosch

Fecha de publicación 20/10/2022
Importancia
3 - Media
Recursos Afectados
  • Bosch VIDEOJET multi 4000, versión 6.31.0010 y anteriores.
  • Bosch DSA E2800:
    • Base units 11.50.2 en Linux;
    • Dual Controllers 11.60.2 en Linux.
Descripción

Se han identificado 3 vulnerabilidades de severidad media en productos Bosch de tipo Cross-Site Scripting (XSS) y denegación de servicio (DoS).

Solución
  • Se aconseja utilizar una herramienta de Bosch como Configuration Manager para configurar el codificador, que no es vulnerable a XSS ni CSRF (Cross Site Request Forgery).

  • Actualizar el firmware del controlador Bosch E2800 afectado a la versión 11.70.3P1.

Detalle
  • Un error en el gestor de URL del VIDEOJET multi 4000 podría conducir a un XSS reflejado en la interfaz web. Un atacante con conocimiento de la dirección del codificador podría enviar un enlace malicioso a un usuario, que ejecutará código JavaScript en el contexto del usuario. Se ha asignado el identificador CVE-2022-40183 para esta vulnerabilidad.
  • El filtrado incompleto del código JavaScript en diferentes campos de configuración de la interfaz web del VIDEOJET multi 4000 podría permitir a un atacante con credenciales administrativas almacenar código JavaScript, que se ejecutará para todos los administradores que accedan a la misma opción de configuración. Se ha asignado el identificador CVE-2022-40184 para esta vulnerabilidad.
  • Un atacante podría finalizar una asociación en la pila SCTP de Linux a través de fragmentos no válidos, si conoce las direcciones IP y los números de puerto que se utilizan, permitiendo el envío de paquetes con direcciones IP falsas. Se ha asignado el identificador CVE-2021-3772 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Multiple Cross Site Scripting vulnerabilities in Bosch VIDEOJET multi 4000
CVE-2021-3772 Linux Kernel Vulnerability in NetApp DSA E2800 series
Etiquetas