Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en XGW 3000 ZigBee Gateway de Miele

Múltiples vulnerabilidades en XGW 3000 ZigBee Gateway de Miele

Fecha de publicación: 
21/05/2019
Importancia: 
3 - Media
Recursos afectados: 
  • XGW 3000 ZigBee Gateway.
Descripción: 

El investigador Maxim Rupp ha reportado dos vulnerabilidades, de tipo CSRF (Cross-site request forgery) y omisión de autenticación, en el producto XGW 3000 ZigBee Gateway de Miele.

Solución: 
  • Instalar la versión de software 2.4.0 mediante la función de actualización automática de XGW 3000 ZigBee Gateway.
Detalle: 
  • Un sitio web malicioso visitado por un usuario administrativo autenticado, o un correo malicioso, pueden realizar cambios arbitrarios en el admin panel mediante un ataque CSRF.
  • En combinación con la vulnerabilidad anterior, la contraseña de administrador se puede cambiar sin comprobar la antigua, omitiendo de esta manera la función de cambio de contraseña.

Encuesta valoración