Vulnerabilidad XSS en productos ControlByWeb

Fecha de publicación 11/12/2023

Importancia

4 - Alta

Recursos Afectados

Dispositivos ControlByWeb Relay, para las versiones de firmware:

X-332-24I: 1.06;
X-301-I y X-301-24I: 1.15.

Descripción

Prajitesh Singh, investigador de Cyble, ha reportado una vulnerabilidad de severidad alta que afecta a dispositivos de ControlByWeb, y cuya explotación podría permitir a un atacante autenticado ejecutar código malicioso durante la sesión de un usuario.

Solución

Actualizar los productos afectados a las versiones:

X301: 1.20;
X332: 1.09.

Detalle

Los productos ControlByWeb Relay afectados son vulnerables a un Cross-Site Scripting almacenado, que podría permitir a un atacante inyectar scripts arbitrarios en el endpoint de una interfaz web para ejecutar código JavaScript malicioso durante la sesión de un usuario. Se ha asignado el identificador CVE-2023-6333 para esta vulnerabilidad.

Listado de referencias

ICSA-23-341-05 - ICSA-23-341-05 ControlbyWeb Relay

Etiquetas