Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en el controlador táctil Tuxedo de Honeywell

Múltiples vulnerabilidades en el controlador táctil Tuxedo de Honeywell

Fecha de publicación: 
28/07/2015
Importancia: 
4 - Alta
Recursos afectados: 

Los sistemas afectados son los siguientes:

  • Tuxedo Touch versión 5.1.13.0_va y anteriores.
Descripción: 

Se han identificado varias vulnerabilidades de tipo CSRF y de evasión de la autenticación en el controlador táctil Tuxedo Touch de la empresa Honeywell.

Solución: 

Honeywell ha publicado la versión de firmware TUXW_V5.2.19.0_VA que corrige estas vulnerabilidades.

Detalle: 

Las vulnerabilidades que afectan al controlador Tuxedo Touch son las siguientes:

  • CSRF: Permite a un potencial atacante el secuestro de sesión de usuarios arbitrarios relacionados con comandos de automatización del hogar. Se ha reservado el identificador CVE-2015-2848.
  • Evasión de autenticación: La interfaz web del dispositivo utiliza JavaScript, que permite eludir la autenticación (authentication bypassing) para acceder al sistema. Se ha reservado el identificador CVE-2015-2847.
Etiquetas: