Inicio / Alerta Temprana / Vulnerabilidades / CVE-2020-16134

Vulnerabilidad en la API Sysbus en Swisscom Internet Box 2, Internet Box Standard, Internet Box Plus, Internet Box 3 e Internet Box light (CVE-2020-16134)

Tipo: 
Credenciales insuficientemente protegidas
Gravedad: 
Alta
Fecha publicación : 
04/08/2020
Última modificación: 
10/08/2020
Descripción
Se detectó un problema en Swisscom Internet Box 2, Internet Box Standard, Internet Box Plus versiones anteriores a 10.04.38, Internet Box 3 versiones anteriores a 11.01.20 e Internet Box light versiones anteriores a 08.06.06. Dadas las credenciales (configurables por el usuario) para la interfaz Web local o el acceso físico al botón plus o reset de un dispositivo, un atacante puede crear un usuario con privilegios elevados en la API Sysbus. Esto puede ser usado para modificar el acceso SSH local o remoto, permitiendo así una sesión de inicio de sesión como super usuario
Impacto
Vector de acceso: No disponible
Complejidad de Acceso: Baja
Autenticación: No disponible
Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:o:swisscom:internet_box_standard_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:o:swisscom:internet_box_plus_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:o:swisscom:internet_box_light_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:o:swisscom:internet_box_3_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:o:swisscom:internet_box_2_firmware:*:*:*:*:*:*:*:*
  • cpe:2.3:h:swisscom:internet_box_standard:-:*:*:*:*:*:*:*
  • cpe:2.3:h:swisscom:internet_box_plus:-:*:*:*:*:*:*:*
  • cpe:2.3:h:swisscom:internet_box_light:-:*:*:*:*:*:*:*
  • cpe:2.3:h:swisscom:internet_box_3:-:*:*:*:*:*:*:*
  • cpe:2.3:h:swisscom:internet_box_2:-:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos