Inicio / Content / Boletín de INCIBE-CERT del 21-04-2022

Boletín de INCIBE-CERT del 21-04-2022

Múltiples vulnerabilidades en ctrlX CORE de Bosch

Fecha de publicación: 
21/04/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • ctrlX CORE, versiones anteriores a XCR-V-0114.1;
  • ctrlX CORE (LTS), versiones anteriores a XCR-V-0112.15;
  • ctrlX CORE (Node-Red), versiones anteriores a RED-V-0114.4;
  • ctrlX CORE (Node-Red) (LTS), versiones anteriores a RED-V-0112.4.
Descripción: 

Se han identificado 25 vulnerabilidades en ctrlX CORE de Bosch: 10 de severidad crítica, 8 altas, 4 medias, 1 baja y 2 sin severidad asignada. Un atacante podría escalar privilegios, obtener acceso al sistema o causar una denegación de servicio del dispositivo, explotando alguna de estas vulnerabilidades.

Solución: 

Actualizar a las versiones:

  • core20 20220318 (parte de XCR-V-0112.15);
  • RED-V-0112.4 (rama LTS);
  • core20 20220318 (parte de XCR-V-0114.1);
  • RED-V-0114.4.

La actualización de core20 puede requerir un reinicio del dispositivo y, por lo tanto, el dispositivo no estará disponible temporalmente.

Detalle: 

Los tipos de vulnerabilidades de severidad crítica son los siguientes:

  • denegación de servicio,
  • divulgación de información,
  • desbordamiento de entero,
  • desbordamiento de búfer,
  • ejecución arbitraria de código,
  • omisión de validación de la codificación,
  • inserción de caracteres separadores namespace en las URI de namespace.

Para estas vulnerabilidades críticas se han asignado los identificadores CVE-2021-35942, CVE-2022-22822, CVE-2022-22823, CVE-2022-22824, CVE-2022-23218, CVE-2022-23219, CVE-2022-23852, CVE-2022-23990, CVE-2022-25235 y CVE-2022-25236.

Respecto al resto de vulnerabilidades no críticas, se pueden consultar sus identificadores CVE en el aviso del fabricante.

Encuesta valoración