Inicio / Content / Boletín de INCIBE-CERT del 26-02-2020

Boletín de INCIBE-CERT del 26-02-2020

Múltiples vulnerabilidades en Honeywell WIN-PAK

Fecha de publicación: 
26/02/2020
Importancia: 
4 - Alta
Recursos afectados: 

WIN-PAK, versión 4.7.2 y anteriores.

Descripción: 

Se han detectado 3 vulnerabilidades, 2 de severidad alta y una media, de tipos CSRF, neutralización inadecuada de los encabezados HTTP para la sintaxis de los scripts y uso de librerías obsoletas.

Solución: 

Actualizar WIN-PAK a la versión 4.7.2 B1072.3.4 y, posteriormente, aplicar el parche.

Detalle: 
  • El producto afectado es vulnerable a CSRF (Cross-Site Request Forgery), lo que puede permitir a un atacante remoto ejecutar código arbitrario. Se ha reservado el identificador CVE-2020-7005 para esta vulnerabilidad.
  • Se ha identificado una vulnerabilidad de neutralización incorrecta de las cabeceras HTTP, que puede permitir la ejecución remota de código. Se ha reservado el identificador CVE-2020-6982 para esta vulnerabilidad.
  • El producto afectado es vulnerable debido al uso de librerías jQuery obsoletas. Se ha reservado el identificador CVE-2020-6978 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos de Moxa

Fecha de publicación: 
26/02/2020
Importancia: 
5 - Crítica
Recursos afectados: 
  • Las siguientes pasarelas de protocolos:
    • Series MB3170, con versión de firmware 4.0 o anterior;
    • Series MB3270, con versión de firmware 4.0 o anterior;
    • Series MB3180, con versión de firmware 2.0 o anterior;
    • Series MB3280, con versión de firmware 3.0 o anterior;
    • Series MB3480, con versión de firmware 3.0 o anterior;
    • Series MB3660, con versión de firmware 2.2 o anterior;
  • Series ioLogik 2500, con versión de firmware 3.0 o anterior;
  • IOxpress servicio de configuración, versión 2.3.0 o anterior;
  • Los switches ethernet:
    • Series PT-7528,con versión de firmware 4.0 o anterior;
    • Series PT-7828, con versión de firmware 3.9 o anterior;
    • Series DS-G516E, con versión de firmware5.2 o anterior;
    • Series EDS-510E, con versión de firmware 5.2 o anterior;
Descripción: 

Diversos investigadores han reportado a Moxa veinticinco vulnerabilidades, una de severidad baja, seis de severidad media, ocho altas y diez críticas. Un atacante remoto podría ejecutar código arbitrario, saltarse restricciones de acceso y realizar modificaciones de configuraciones afectando a la confidencialidad, integridad y disponibilidad.

Solución: 
  • Para las Series EDS-G516E, se recomienda actualizar a la última versión disponible.
  • MOXA ha desarrollado una nueva versión de firmware para los modelos: MB3170, MB3270, MB3180, MB3280, MB3480 y MB3660. Para obtenerla, póngase en contacto directamente con el fabricante para su actualización.
  • Para el resto de los dispositivos consulte con el servicio de soporte técnico de Moxa.
Detalle: 
  • Un atacante podría ejecutar código arbitrario, dejando fuera de servicio al dispositivo. Se han reservado los identificadores CVE-2020-7007, CVE-2020-6989 y CVE-2019-9099 para estas vulnerabilidades.
  • Los productos afectados utilizan claves criptográficas embebidas, que podría permitir que se revele información confidencial. Se han reservado los identificadores CVE-2020-6979 y CVE-2020-6983 para estas vulnerabilidades.
  • Un atacante podría conseguir acceso al sistema sin la autorización adecuada. Se han reservado los identificadores CVE-2020-6981 y CVE-2020-6985 para estas vulnerabilidades.
  • Un atacante podría acceder al sistema utilizando fuerza bruta. Se han reservado los identificadores CVE-2020-6991, CVE-2020-6995 y CVE-2019-9096 para estas vulnerabilidades.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2020-7001, CVE-2020-6989, CVE-2020-6997, CVE-2020-6987, CVE-2020-6993, CVE-2019-18238, CVE-2020-7003, CVE-2019-18242, CVE-2019-9098, CVE-2019-9102, CVE-2019-9095, CVE-2019-9103, CVE-2019-9101, CVE-2019-9104 y CVE-2019-9097.

Encuesta valoración