Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en la interfaz de usuario web en diversos equipos Xerox (CVE-2021-28671)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
29/03/2021
Última modificación:
05/04/2021

Descripción

Xerox Phaser 6510 versiones anteriores a 64.65.51 y 64.59.11 (Bridge), WorkCentre 6515 versiones anteriores a 65.65.51 y 65.59.11 (Bridge), VersaLink B400 versiones anteriores a 37.65.51 y 37.59.01 (Bridge), B405 versiones anteriores a 38.65.51 y 38.59 .01 (Bridge), B600/B610 versiones anteriores a 32.65.51 y 32.59.01 (Bridge), B605/B615 versiones anteriores a 33.65.51 y 33.59.01 (Bridge), B7025/30/35 versiones anteriores a 58.65.51 y 58.59.11 ( Bridge), C400 versiones anteriores a 67.65.51 y 67.59.01 (Bridge), C405 versiones anteriores a 68.65.51 y 68.59.01 (Bridge), C500/C600 versiones anteriores a 61.65.51 y 61.59.01 (Bridge), C505/C605 versiones anteriores a 62.65. 51 y 62.59.01 (Bridge), C7000 versiones anteriores a 56.65.51 y 56.59.01 (Bridge), C7020/25/30 versiones anteriores a 57.65.51 y 57.59.01 (Bridge), C8000/C9000 versiones anteriores a 70.65.51 y 70.59.01 (Bridge), C8000W versiones anteriores a 72.65.51, presentan una vulnerabilidad de ejecución de comandos remota en la interfaz de usuario web que permite a atacantes remotos con "a weaponized clone file" ejecutar comandos arbitrarios

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Vector 2.0
AV:N/AC:L/Au:N/C:P/I:P/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Físico
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Físico

Puntuación base 2.0
7.50
Gravedad 2.0
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:o:xerox:phaser_6510_firmware:*:*:*:*:*:*:*:* 64.59.11 (excluyendo)
cpe:2.3:h:xerox:phaser_6510:-:*:*:*:*:*:*:*
cpe:2.3:o:xerox:workcentre_6515_firmware:*:*:*:*:*:*:*:* 65.59.11 (excluyendo)
cpe:2.3:h:xerox:workcentre_6515:-:*:*:*:*:*:*:*
cpe:2.3:o:xerox:versalink_b400_firmware:*:*:*:*:*:*:*:* 37.59.01 (excluyendo)
cpe:2.3:h:xerox:versalink_b400:-:*:*:*:*:*:*:*
cpe:2.3:o:xerox:versalink_b405_firmware:*:*:*:*:*:*:*:* 38.59.01 (excluyendo)
cpe:2.3:h:xerox:versalink_b405:-:*:*:*:*:*:*:*
cpe:2.3:o:xerox:versalink_b600_firmware:*:*:*:*:*:*:*:* 32.59.01 (excluyendo)
cpe:2.3:h:xerox:versalink_b600:-:*:*:*:*:*:*:*
cpe:2.3:o:xerox:versalink_b610_firmware:*:*:*:*:*:*:*:* 32.59.01 (excluyendo)
cpe:2.3:h:xerox:versalink_b610:-:*:*:*:*:*:*:*
cpe:2.3:o:xerox:versalink_b605_firmware:*:*:*:*:*:*:*:* 33.59.01 (excluyendo)
cpe:2.3:h:xerox:versalink_b605:-:*:*:*:*:*:*:*
cpe:2.3:o:xerox:versalink_b615_firmware:*:*:*:*:*:*:*:* 33.59.01 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información