Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Crestron AM-100 con firmware 1.6.0.2 y AM- (CVE-2019-3927)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
30/04/2019
Última modificación:
16/10/2020

Descripción

En Crestron AM-100 con versión de firmware 1.6.0.2 y AM-101 con el firmware versión 2.7.0.2 cualquiera puede cambiar las contraseñas de administrador y moderador por medio la OID iso.3.6.1.4.1.3212.100.3.2.8.1 y iso.3.6.1.4.1.3212.100.3.2.8.2. Un atacante remoto sin identificar puede usar esta vulnerabilidad para cambiar la contraseña del usuario administrador o moderador y obtener acceso a áreas restringidas en la interfaz HTTP.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:crestron:am-100_firmware:1.6.0.2:*:*:*:*:*:*:*
cpe:2.3:h:crestron:am-100:-:*:*:*:*:*:*:*
cpe:2.3:o:crestron:am-101_firmware:2.7.0.2:*:*:*:*:*:*:*
cpe:2.3:h:crestron:am-101:-:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información