Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Permisos predeterminados incorrectos en Evoko Home de Biamp

Fecha de publicación 23/12/2024
Identificador
INCIBE-2024-0622
Importancia
4 - Alta
Recursos Afectados
  • Evoko Home Service para Windows, versiones comprendidas entre la 2.4.2 y la 2.7.4.
Descripción

INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta distintas versiones de Evoko Home, un sistema para gestionar los dispositivos de reserva de salas Liso instalados fuera de las salas de reuniones, la cual ha sido descubierta por Alexander Huaman.

A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:

  • CVE-2024-12903: CVSS v3.1: 7.8 | CVSS AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-276.
Solución

Actualmente no se dispone de solución, está planeado incluirla en la publicación del nuevo framework en 2025. Las medidas de mitigación temporales hasta que se lance la nueva versión, consiste en utilizar Ubuntu en lugar de Windows.

Detalle
  • CVE-2024-12903: vulnerabilidad de permisos predeterminados incorrectos en Evoko Home, que afecta a la versión 2.4.2 a 2.7.4. Un usuario que no sea administrador podría aprovechar permisos débiles de archivos y carpetas para escalar privilegios, ejecutar código arbitrario y mantener la persistencia en la máquina comprometida. Se ha identificado que existen permisos de control total sobre el grupo "Everyone" (es decir, cualquier usuario que tenga acceso local al sistema operativo independientemente de sus privilegios).
Listado de referencias