Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad XSS en productos ControlByWeb

Fecha de publicación 11/12/2023
Identificador
INCIBE-2023-0547
Importancia
4 - Alta
Recursos Afectados

Dispositivos ControlByWeb Relay, para las versiones de firmware:

  • X-332-24I: 1.06;
  • X-301-I y X-301-24I: 1.15.
Descripción

Prajitesh Singh, investigador de Cyble, ha reportado una vulnerabilidad de severidad alta que afecta a dispositivos de ControlByWeb, y cuya explotación podría permitir a un atacante autenticado ejecutar código malicioso durante la sesión de un usuario.

Solución

Actualizar los productos afectados a las versiones:

Detalle

Los productos ControlByWeb Relay afectados son vulnerables a un Cross-Site Scripting almacenado, que podría permitir a un atacante inyectar scripts arbitrarios en el endpoint de una interfaz web para ejecutar código JavaScript malicioso durante la sesión de un usuario. Se ha asignado el identificador CVE-2023-6333 para esta vulnerabilidad.

Listado de referencias
ICSA-23-341-05 - ICSA-23-341-05 ControlbyWeb Relay
Etiquetas