Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en equipos de Honeywell

Múltiples vulnerabilidades en equipos de Honeywell

Fecha de publicación: 
22/01/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • MAXPRO VMS:
    • HNMSWVMS, anterior a la versión VMS560 Build 595 T2-Patch;
    • HNMSWVMSLT, anterior a la versión VMS560 Build 595 T2-Patch;
  • MAXPRO NVR:
    • MAXPRO NVR XE, anterior a la versión NVR 5.6 Build 595 T2-Patch;
    • MAXPRO NVR SE, anterior a la versión NVR 5.6 Build 595 T2-Patch;
    • MAXPRO NVR PE, anterior a la versión NVR 5.6 Build 595 T2-Patch;
    • MPNVRSWXX, anterior a la versión NVR 5.6 Build 595 T2-Patch.
Descripción: 

Joachim Kerschbaumer ha reportado dos vulnerabilidades, con severidades críticas, que afectan a equipos de Honeywell. Un atacante remoto podría realizar un escalado de privilegios, generar una condición de denegación de servicio o permitir una ejecución de código.

Solución: 

Honeywell ha publicado dos actualizaciones que solucionan las vulnerabilidades:

  • VMS 560 Build 595 T2-Patch para los sistemas VMS;
  • NVR 5.6 Build 595 T2-Patch para los sistemas NVR.

Dichas actualizaciones pueden encontrarse en la página de soporte MyWebTech de Honeywell, para usuarios registrados.

Detalle: 
  • Los productos son vulnerables a una deserialización de datos no confiables. Un atacante remoto, sin autenticación, podría modificar estos datos a través de peticiones web específicamente diseñadas, pudiendo conllevar a la ejecución de código. Se ha reservado el identificador CVE-2020-6959 para esta vulnerabilidad.
  • La otra vulnerabilidad consiste en una inyección SQL. Un atacante remoto, sin autenticación, podría acceder a la interfaz web con permisos de administrador. Se ha reservado el identificador CVE-2020-6960 para esta vulnerabilidad.

Encuesta valoración