Omisión de autenticación en Zebra ZTC

Fecha de publicación
11/10/2023
Importancia
3 - Media
Recursos Afectados
  • Zebra Technologies ZTC ZT410-203dpi ZPL.
Descripción

INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta al modelo de impresora ZT410-203dpi ZPL, de Zebra Technologies, la cual ha sido descubierta por David Cámara Galindo.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2023-4957: CVSS v3.1: 5.4 | CVSS: AV:A/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N | CWE-288.
Solución

Las impresoras Zebra que ejecutan Link-OS v6.0 y versiones posteriores disponen de un modo protegido que protege la impresora de esta vulnerabilidad. La activación de este modo desactiva los cambios no autorizados y bloquea la configuración actual hasta que un administrador autorice las actualizaciones. Por defecto, el modo protegido está desactivado, ya que es necesario generar primero una contraseña.


NOTA: la impresora industrial ZT410 se dejó de fabricar el 1 de octubre de 2020. Las fechas de descontinuación del servicio y soporte son en septiembre y diciembre de 2025, dependiendo de la región. Encontrarás más información sobre la configuración de seguridad y las prácticas recomendadas, incluido el modo protegido, en las referencias.

Detalle
  • CVE-2023-4957: se ha encontrado una vulnerabilidad de omisión de autenticación en la impresora Zebra Technologies ZTC ZT410-203dpi ZPL. Esta vulnerabilidad permite a un atacante, que se encuentre en la misma red que la impresora, cambiar el nombre de usuario y la contraseña de la página web, enviando una solicitud POST especialmente diseñada al archivo setvarsResults.cgi. Para que esta vulnerabilidad sea explotable, el modo protegido de la impresora debe estar desactivado.

botón arriba