Divulgación de información en Texas Instruments CC3200 SimpleLink

Fecha de publicación:

17/02/2022

Importancia:

3 - Media

Recursos afectados:

Texas Instruments CC3200 SimpleLink Solution NWP 2.9.0.0;
Sealevel Systems, Inc. SeaConnect 370W 1.3.34

Descripción:

Francesco Benvenuto y Matt Wiseman, investigadores de Cisco Talos, han identificado una vulnerabilidad de severidad media que podría permitir la divulgación de información.

Solución:

Actualizar a versiones posteriores a las afectadas.

Detalle:

La funcionalidad HTTP Server /ping.html del producto afectado incluye una página web habilitada por defecto que atiende ciertas peticiones HTTP sin involucrar nunca al procesador de aplicaciones. Un atacante podría enviar una petición HTTP especialmente diseñada y causar una lectura no inicializada. La información filtrada podría contener contraseñas y tokens, o podría utilizarse para eludir la mitigación de exploits mediante el filtrado de direcciones o stack cookies. Se ha asignado el identificador CVE-2021-21966 para esta vulnerabilidad.

Referencias:

TALOS-2021-1393 Texas Instruments CC3200 SimpleLink Solution HTTP Server /ping.html information disclosure vulnerability

Etiquetas:

Actualización

Comunicaciones

Infraestructuras críticas

IoT

Vulnerabilidad

Accesos corporativos

Divulgación de información en Texas Instruments CC3200 SimpleLink

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron