Vulnerabilidad en Cosy+ (CVE-2024-33896)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
02/08/2024
Última modificación:
25/03/2025
Descripción
Los dispositivos Cosy+ que ejecutan un firmware 21.x inferior a 21.2s10 o un firmware 22.x inferior a 22.1s3 son vulnerables a la inyección de código debido a una lista negra de parámetros incorrecta. Esto se solucionó en las versiones 21.2s10 y 22.1s3.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:hms-networks:ewon_cosy\+_firmware:*:*:*:*:*:*:*:* | 21.0 (incluyendo) | 21.2s10 (incluyendo) |
| cpe:2.3:o:hms-networks:ewon_cosy\+_firmware:*:*:*:*:*:*:*:* | 22.0 (incluyendo) | 22.1s3 (incluyendo) |
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_apac:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_eu:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_jp:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_4g_na:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_ethernet:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:hms-networks:ewon_cosy\+_wifi:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://blog.syss.com/posts/hacking-a-secure-industrial-remote-access-gateway/
- https://hmsnetworks.blob.core.windows.net/nlw/docs/default-source/products/cybersecurity/security-advisory/hms-security-advisory-2024-07-29-001--ewon-several-cosy--vulnerabilities.pdf
- https://www.ewon.biz/products/cosy/ewon-cosy-wifi
- https://www.hms-networks.com/cyber-security