Vulnerabilidad en el envío de peticiónes en las cámaras Bosch IP (CVE-2021-23847)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-306
Ausencia de autenticación para una función crítica
Fecha de publicación:
09/06/2021
Última modificación:
22/06/2021
Descripción
Una Falta de Autenticación en una Función Crítica en las cámaras Bosch IP, permite a un atacante remoto no autenticado extraer información confidencial o cambiar la configuración de la cámara mediante el envío de peticiónes diseñadas al dispositivo. Solo los dispositivos de la familia CPP6, CPP7 y CPP7.3 con versiones de firmware 7.70, 7.72 y 7.80 anteriores a B128 están afectados por esta vulnerabilidad. Las versiones 7.62 o inferiores y las cámaras INTEOX no están afectadas
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.40
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:bosch:cpp6_firmware:*:*:*:*:*:*:*:* | 7.80 (incluyendo) | 7.80.0129 (excluyendo) |
| cpe:2.3:o:bosch:cpp6_firmware:7.70:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bosch:cpp6_firmware:7.72:*:*:*:*:*:*:* | ||
| cpe:2.3:h:bosch:cpp6:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bosch:cpp7_firmware:*:*:*:*:*:*:*:* | 7.80 (incluyendo) | 7.80.0129 (excluyendo) |
| cpe:2.3:o:bosch:cpp7_firmware:7.70:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bosch:cpp7_firmware:7.72:*:*:*:*:*:*:* | ||
| cpe:2.3:h:bosch:cpp7:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bosch:cpp7.3_firmware:*:*:*:*:*:*:*:* | 7.80 (incluyendo) | 7.80.0129 (excluyendo) |
| cpe:2.3:o:bosch:cpp7.3_firmware:7.70:*:*:*:*:*:*:* | ||
| cpe:2.3:o:bosch:cpp7.3_firmware:7.72:*:*:*:*:*:*:* | ||
| cpe:2.3:h:bosch:cpp7.3:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página