Múltiples vulnerabilidades en XGW 3000 ZigBee Gateway de Miele
Fecha de publicación:
21/05/2019
Importancia:
3 -
Media
Recursos afectados:
- XGW 3000 ZigBee Gateway.
Descripción:
El investigador Maxim Rupp ha reportado dos vulnerabilidades, de tipo CSRF (Cross-site request forgery) y omisión de autenticación, en el producto XGW 3000 ZigBee Gateway de Miele.
Solución:
- Instalar la versión de software 2.4.0 mediante la función de actualización automática de XGW 3000 ZigBee Gateway.
Detalle:
- Un sitio web malicioso visitado por un usuario administrativo autenticado, o un correo malicioso, pueden realizar cambios arbitrarios en el admin panel mediante un ataque CSRF.
- En combinación con la vulnerabilidad anterior, la contraseña de administrador se puede cambiar sin comprobar la antigua, omitiendo de esta manera la función de cambio de contraseña.
Etiquetas: