Inicio / Alerta Temprana / Avisos Sci / Exposición de información en CAP/PRX de SITEL

Exposición de información en CAP/PRX de SITEL

Fecha de publicación: 
13/05/2021
Importancia: 
3 - Media
Recursos afectados: 

CAP/PRX, versión de firmware 5.2.01.

Descripción: 

INCIBE ha coordinado la publicación de una vulnerabilidad en el dispositivo CAP/PRX, del fabricante SITEL, con el código interno INCIBE-2021-0178, que ha sido descubierta por el equipo de Ciberseguridad Industrial de S21sec, mención especial a Aarón Flecha Menéndez y Luis Martín Liras, como investigador independiente.

A esta vulnerabilidad se le ha asignado el código CVE-2021-32453. Se ha calculado una puntuación base CVSS v3.1 de 6,5; siendo el cálculo del CVSS el siguiente: AV:A/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:H.

Solución: 

La corrección de esta vulnerabilidad está disponible a partir de la versión 1.2 de la plataforma CAP-PRX-NG.

Detalle: 

Es posible acceder vía HTTP a la base de datos interna de configuración del dispositivo. También es posible acceder a diferentes archivos de configuración que proporcionan información sobre el dispositivo y su sistema operativo.

Un atacante con acceso a la red local donde se encuentra el dispositivo podría descargar la base de datos y obtener información sobre la configuración del dispositivo.

Esta vulnerabilidad ha sido corregida en los productos afectados a través de los procesos de mejora continua por parte de SITEL.

CWE-200: Exposición de información sensible a un agente no autorizado.

Línea temporal:

11/08/2017 – Divulgación de los investigadores.
02/10/2020 – Los investigadores contactan con INCIBE.
08/02/2021 – SITEL confirma la vulnerabilidad a INCIBE y la publicación de la versión correctora y la nueva versión de software (security patch).
13/05/20201 – INCIBE publica el aviso.

Si tiene más información sobre este aviso, póngase en contacto con INCIBE, como se indica en la sección de asignación y publicación de CVE.

Encuesta valoración