Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos de Secomea

Múltiples vulnerabilidades en productos de Secomea

Fecha de publicación: 
23/02/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • GateManager, todas las versiones anteriores a la 9.4;
  • SiteManager, todas las versiones anteriores a la 9.4.
Descripción: 

Tenable ha reportado dos vulnerabilidades de severidad alta y otra de severidad media que podrían permitir a un atacante inyectar código XSS, acceder a información confidencial o instalar puertas traseras en el dispositivo, respectivamente.

Solución: 

Actualizar a la versión 9.4 siguiendo las referencias adicionales para GateManager y SiteManager.

Detalle: 
  • Una vulnerabilidad de XSS reflejado relacionada con el parámetro “op” en gui.cgi de GateManager, podría permitir a un atacante inyectar código JavaScript arbitrario para que se ejecute en el navegador del usuario al navegar a la URL especialmente diseñada. Se ha asignado el identificador CVE- 2020-29028 para esta vulnerabilidad de severidad media.
  • Una vulnerabilidad podría permitir a un atacante obtener información confidencial de la URL de ruta de todas las peticiones POST/GET después de que un usuario se haya autenticado en GateManager, ya que el token de autenticación queda expuesto de forma predeterminada. Se ha asignado el identificador CVE-2020-29030 para esta vulnerabilidad de severidad alta.
  • Una vulnerabilidad en SiteManager podría permitir a un atacante, con permisos de nivel de operador de servicio, instalar firmware manipulado y así, instalar una puerta trasera en el dispositivo.

Encuesta valoración