Inicio / Content / Boletín de INCIBE-CERT del 27-01-2022

Boletín de INCIBE-CERT del 27-01-2022

Vulnerabilidad XSS en Bosch Video Security Android Application

Fecha de publicación: 
27/01/2022
Importancia: 
3 - Media
Recursos afectados: 

Bosch Video Security Android Application, versiones anteriores a 3.2.4.

Descripción: 

Sergey Toshin, investigador de Oversecured, ha descubierto una vulnerabilidad media de tipo Cross-Site Scripting (XSS), que podría permitir a un atacante inyectar código HTML aleatorio en un componente cargado por WebView.

Solución: 

Actualizar Bosch Video Security Android Application a la versión 3.2.4.

Detalle: 

Una vulnerabilidad en la aplicación Android Bosch Video Security podría permitir a un atacante inyectar código HTML aleatorio en un objeto WebView, lo que posibilitaría el despliegue de recursos web o la carga de formularios maliciosos, que podrían conducir al robo de la información privada del usuario. Se ha asignado el identificador CVE-2021-23863 para esta vulnerabilidad.

Encuesta valoración

[Actualización 26/04/2022] Múltiples vulnerabilidades DoS en productos Mitsubishi Electric

Fecha de publicación: 
30/11/2021
Importancia: 
4 - Alta
Recursos afectados: 
  • MELSEC:
    • iQ-R series:
      • R00/01/02CPU, versiones de firmware 24 y anteriores;
      • R04/08/16/32/120(EN)CPU, versiones de firmware 57 y anteriores;
      • R08/16/32/120SFCPU, todas las versiones;
      • R08/16/32/120PCPU, versiones de firmware 29 y anteriores;
      • R08/16/32/120PSFCPU, todas las versiones;
      • R16/32/64MTCPU, todas las versiones;
      • R12CCPU-V, todas las versiones.
    • Q series:
      • Q03UDECPU, Q04/06/10/13/20/26/50/100UDEHCPU, todas las versiones;
      • Q03/04/06/13/26UDVCPU, los primeros 5 dígitos de los números de serie "23071" y anteriores;
      • Q04/06/13/26UDPVCPU, los primeros 5 dígitos de los números de serie "23071" y anteriores.
    • L Series: L02/06/26CPU (-P), L26CPU-(P)BT, los primeros 5 dígitos de los números de serie "23121" y anteriores;
  • MELIPC Series: MI5122-VW, todas las versiones.
Descripción: 

El fabricante ha notificado 3 vulnerabilidades de severidad alta que podrían provocar condiciones de denegación de servicio (DoS) en los productos afectados.

Solución: 

Actualizar los productos afectados:

  • iQ-R Series:
    • R00/01/02CPU: versión de firmware 25 o posteriores;
    • R04/08/16/32/120(EN)CPU: versión de firmware 58 o posteriores;
    • R08/16/32/120PCPU: versión de firmware 30 o posteriores.
  • Q Series:
    • Q03/04/06/13/26UDVCPU: los primeros 5 dígitos de los números de serie "23072" o posteriores;
    • Q04/06/13/26UDPVCPU: los primeros 5 dígitos de los números de serie "23072" o posteriores.
  • L Series
    • L02/06/26CPU(-P), L26CPU-(P)BT: : los primeros 5 dígitos de los números de serie "23122" o posteriores.
Detalle: 

Un atacante remoto podría detener la ejecución del programa o la comunicación Ethernet de los productos afectados mediante el envío de paquetes especialmente diseñados. Se requiere un reinicio del sistema de los productos para la recuperación. Se han asignado los identificadores CVE-2021-20609, CVE-2021-20610 y CVE-2021-20611 para estas vulnerabilidades.

Encuesta valoración