Inicio / Alerta Temprana / Avisos Sci / Gestión incorrecta de autenticación y control de accesos en productos Tecson/GOK

Gestión incorrecta de autenticación y control de accesos en productos Tecson/GOK

Fecha de publicación: 
05/06/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • LX-Net
  • LX-Q-Net
  • e-litro net
  • SmartBox4 LAN
  • SmartBox4 pro LAN
Descripción: 

El investigador Maxim Rupp (rupp.it) ha reportado una vulnerabilidad en los productos de Tecson/GOK que afecta a la forma de gestionar el control de accesos y la autenticación.

Solución: 
  • Actualizar el firmware de los dispositivos a una versión posterior a la 6.3.x
Detalle: 
  • La aplicación no gestiona de forma adecuada los accesos a los recursos web, permitiendo el acceso a ciertos recursos sin necesidad de una autenticación. Esta vulnerabilidad permitiría a un atacante remoto acceder a recursos localizados en rutas específicas (URL) del servidor web, sin necesidad de estar autenticado. El acceso directo a estos recursos permite el control total del servidor web, pudiendo realizar cambios en la configuración y los ajustes de los dispositivos, como contraseñas, parámetros o alertas. Se ha reservado el identificador CVE-2019-12254 para esta vulnerabilidad.

Encuesta valoración