Inicio / Alerta Temprana / Avisos Sci / Exposición de información en Performance IP Cameras y Performance NVRs de Honeywell

Exposición de información en Performance IP Cameras y Performance NVRs de Honeywell

Fecha de publicación: 
18/09/2019
Importancia: 
3 - Media
Recursos afectados: 
  • Performance IP Cameras:
    • HBD3PR2;
    • H4D3PRV3;
    • HED3PR3;
    • H4D3PRV2;
    • HBD3PR1;
    • H4W8PR2;
    • HBW8PR2;
    • H2W2PC1M;
    • H2W4PER3;
    • H2W2PER3;
    • HEW2PER3;
    • HEW4PER3B;
    • HBW2PER1;
    • HEW4PER2;
    • HEW4PER2B;
    • HEW2PER2;
    • H4W2PER2;
    • HBW2PER2;
    • H4W2PER3;
    • HPW2P1.
  • Performance NVRs:
    • HEN08104;
    • HEN08144;
    • HEN081124;
    • HEN16104;
    • HEN16144;
    • HEN16184;
    • HEN16204;
    • HEN162244;
    • HEN16284;
    • HEN16304;
    • HEN16384;
    • HEN32104;
    • HEN321124;
    • HEN32204;
    • HEN32284;
    • HEN322164;
    • HEN32304;
    • HEN32384;
    • HEN323164;
    • HEN64204;
    • HEN64304;
    • HEN643164;
    • HEN643324;
    • HEN643484;
    • HEN04103;
    • HEN04113;
    • HEN04123;
    • HEN08103;
    • HEN08113;
    • HEN08123;
    • HEN08143;
    • HEN16103;
    • HEN16123;
    • HEN16143;
    • HEN16163;
    • HEN04103L;
    • HEN08103L;
    • HEN16103L;
    • HEN32103L.
Descripción: 

El investigador independiente Ismail Bulbil ha reportado una vulnerabilidad, de tipo exposición de información, que permitiría a un atacante obtener la información de configuración del dispositivo afectado.

Solución: 

Honeywell ha liberado actualizaciones de firmware para todos los productos afectados, disponibles desde su página web.

Detalle: 

El servidor web integrado de los dispositivos afectados permitiría a un atacante remoto obtener datos de configuración web, en formato JSON, para las cámaras IP y las NVRs (Network Video Recorders), a los que se puede acceder sin necesidad de autenticación a través de la red. Se ha reservado el identificador CVE-2019-13523 para esta vulnerabilidad.

Encuesta valoración