Vulnerabilidad en TEM Opera Plus FM Family Transmitter (CVE-2024-41988)

Gravedad:

Pendiente de análisis

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

03/10/2024

Última modificación:

04/10/2024

Descripción

TEM Opera Plus FM Family Transmitter permite el acceso a un endpoint desprotegido que permite la carga de imágenes binarias del sistema de archivos MPFS sin autenticación. Este sistema de archivos sirve como base para el módulo de servidor web HTTP2, pero también lo utiliza el módulo SNMP y está disponible para otras aplicaciones que requieren capacidades básicas de almacenamiento de solo lectura. Esto se puede aprovechar para sobrescribir la memoria flash del programa que contiene las interfaces principales del servidor web y ejecutar código arbitrario.

Impacto

Referencias a soluciones, herramientas e información

https://www.cisa.gov/news-events/ics-advisories/icsa-24-277-01