Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Múltiples vulnerabilidades en productos Hikvision

Fecha27/11/2023
Importancia5 - Crítica
Recursos Afectados
  • LocalServiceComponents, versiones 1.0.0.78 y anteriores.
  • Consultar las versiones afectadas de los distintos productos listados en HSRC-202311-03.
Solución
  • Actualizar LocalServiceComponents a la versión 1.0.0.81.
  • Para el resto de productos afectados, visitar la página oficial de Hikvision para obtener la última versión de firmware.
Detalle

La vulnerabilidad crítica, de tipo desbordamiento de búfer en el complemento de navegador web LocalServiceComponents, podría permitir a un atacante enviar mensajes maliciosos a equipos instalados con este complemento, lo que podría conducir a la ejecución de código arbitrario o provocar la excepción del proceso del complemento. Se ha asignado el identificador CVE-2023-28812 para esta vulnerabilidad.

El resto de vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2023-28813 y CVE-2023-48121.

Acceso sin restricción en productos de Eaton

Fecha27/11/2023
Importancia4 - Alta
Recursos Afectados
  • NM3: todas las versiones hasta la 1.0.3;
  • NM2: todas las versiones hasta la 3.1.8;
  • G4 ePDU: todas las versiones hasta la 2.4.1;
  • IPM2: todas las versiones hasta la 2.7.1.
Descripción

Eaton ha descubierto una vulnerabilidad de severidad alta en el sistema de gestión de usuarios que podría permitir a un usuario válido obtener acceso sin restricciones al dispositivo.

Solución

Para los productos sin actualización se recomienda seguir los pasos de mitigación detallados en el aviso original (ver 'Referencias').

Detalle

Eaton ha descubierto una vulnerabilidad de severidad alta en el sistema de gestión de usuarios de algunos productos, que cuando se configuran con un directorio activo inseguro, los productos permiten a un atacante obtener acceso sin restricciones. Cuando los productos se implementan con un directorio activo configurado de forma insegura son vulnerables a un problema de seguridad, que permite a un usuario válido obtener acceso sin restricciones al dispositivo.