Resumen ejecutivo
Psytester y Frank van den Hurk han descubierto esta vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante hacerse pasar por un administrador y modificar la configuración del dispositivo, así como, acceder a información sensible ahí almacenada.
Recursos afectados
- EIBPORT LAN gateway, versión 3.9.8 y anteriores;
- EIBPORT LAN gateway + GSM, versión 3.9.8 y anteriores.
Análisis técnico
EIBPORT LAN gateway no gestiona de forma correcta las sesiones de usuario, lo que permite a un usuario obtener acceso no autorizado a una página web de configuración proporcionada por el servidor web integrado en EIBPORT.
Se ha asignado el identificador CVE-2024-53420 a esta vulnerabilidad.
Mitigación / Solución
Actualizar el producto a la última versión disponible.