Múltiples vulnerabilidades en GPS Tracker de Uffizio

Fecha de publicación:

15/10/2021

Importancia:

5 - Crítica

Recursos afectados:

GPS Tracker software, todas las versiones.

Descripción:

Harshit Shukla ha reportado al CISA 5 vulnerabilidades, 1 de severidad crítica, 2 altas y 2 medias por las que un atacante podría tener acceso al host para ver información sensible, realizar una ejecución de código, causar una redirección a un dominio externo arbitrario y realizar acciones en nombre de un usuario desprevenido.

Solución:

Uffizio es consciente de estas vulnerabilidades y no ha proporcionado ninguna mitigación o solución. Contactar con Uffizio para obtener más información.

Detalle:

El servidor web puede ser comprometido cargando y ejecutando un web/reverse shell pudiéndose ejecutar comandos, navegar por los archivos del sistema y explorar los recursos locales. Se ha asignado el identificador CVE-2020-17485 para esta vulnerabilidad.

Para las vulnerabilidades de severidad alta, se han asignado los identificadores CVE-2021-32927 y CVE-2020-17483.

Para las vulnerabilidades de severidad media, se han asignado los identificadores CVE-2021-32929 y CVE-2020-17484.

Referencias:

ICS Advisory (ICSA-21-287-02) Uffizio GPS Tracker

Etiquetas:

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en GPS Tracker de Uffizio

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron