Inicio / Alerta Temprana / Avisos Sci / [Actualización 19/01/2023] Múltiples vulnerabilidades en productos Bosch

[Actualización 19/01/2023] Múltiples vulnerabilidades en productos Bosch

Fecha de publicación: 
20/10/2022
Identificador: 
INCIBE-2022-0978
Importancia: 
3 - Media
Recursos afectados: 
  • Bosch VIDEOJET multi 4000, versión 6.31.0010 y anteriores.
  • Bosch DSA E2800:
    • Base units 11.50.2 en Linux;
    • Dual Controllers 11.60.2 en Linux.
Descripción: 

Se han identificado 3 vulnerabilidades de severidad media en productos Bosch de tipo Cross-Site Scripting (XSS) y denegación de servicio (DoS).

Solución: 
  • Se aconseja utilizar una herramienta de Bosch como Configuration Manager para configurar el codificador, que no es vulnerable a XSS ni CSRF (Cross Site Request Forgery).
  • Actualizar el firmware del controlador Bosch E2800 afectado a la versión 11.70.3P1.

Detalle: 
  • Un error en el gestor de URL del VIDEOJET multi 4000 podría conducir a un XSS reflejado en la interfaz web. Un atacante con conocimiento de la dirección del codificador podría enviar un enlace malicioso a un usuario, que ejecutará código JavaScript en el contexto del usuario. Se ha asignado el identificador CVE-2022-40183 para esta vulnerabilidad.
  • El filtrado incompleto del código JavaScript en diferentes campos de configuración de la interfaz web del VIDEOJET multi 4000 podría permitir a un atacante con credenciales administrativas almacenar código JavaScript, que se ejecutará para todos los administradores que accedan a la misma opción de configuración. Se ha asignado el identificador CVE-2022-40184 para esta vulnerabilidad.
  • Un atacante podría finalizar una asociación en la pila SCTP de Linux a través de fragmentos no válidos, si conoce las direcciones IP y los números de puerto que se utilizan, permitiendo el envío de paquetes con direcciones IP falsas. Se ha asignado el identificador CVE-2021-3772 para esta vulnerabilidad.

Encuesta valoración