Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en dispositivos cMT de Weintek

Múltiples vulnerabilidades en dispositivos cMT de Weintek

Fecha de publicación: 
24/03/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Los siguientes modelos y versiones del sistema operativo de cMT están afectados:

  • cMT-SVR-1xx/2xx, versiones anteriores a 20210305;
  • cMT-G01/G02, versiones anteriores a 20210209;
  • cMT-G03/G04, versiones anteriores a 20210222;
  • cMT3071/cMT3072/cMT3090/cMT3103/cMT3151, versiones anteriores a 20210218;
  • cMT-HDM, versiones anteriores a 20210204;
  • cMT-FHD, versiones anteriores a 20210208;
  • cMT-CTRL01, versiones anteriores a 20210302.
Impacto: 

Marcin Dudek, investigador del CERT.PL, ha reportado 3 vulnerabilidades al CISA, todas de severidad crítica, cuya explotación podría permitir a un atacante remoto, no autenticado, acceder a información sensible y ejecutar código arbitrario para obtener privilegios de root.

Solución: 

Aplicar las actualizaciones descritas en el apartado Solution del aviso oficial del fabricante.

Detalle: 
  • La línea de productos Weintek cMT es vulnerable a la inyección de código, que podría permitir a un atacante remoto, no autenticado, ejecutar comandos con privilegios de root en el sistema operativo afectado. Se ha asignado el identificador CVE-2021-27446 para esta vulnerabilidad.
  • La línea de productos Weintek cMT es vulnerable a varios controles de acceso inadecuados, que podrían permitir a un atacante no autentificado acceder y descargar remotamente información sensible y realizar acciones administrativas en nombre de un administrador legítimo. Se ha asignado el identificador CVE-2021-27444 para esta vulnerabilidad.
  • La línea de productos Weintek cMT es vulnerable a una vulnerabilidad de XSS que podría permitir a un atacante remoto, no autentificado, inyectar código JavaScript malicioso. Se ha asignado el identificador CVE-2021-27442 para esta vulnerabilidad.

Encuesta valoración