Descripción
Advantech ha publicado múltiples vulnerabilidades en sus productos que podrían permitir a un atacante ejecutar código arbitrario, divulgar información y borrar archivos.
- CVE-2021-22667: El uso de contraseñas embebidas podría permitir a un atacante ganar acceso no autorizado y ejecutar código arbitrario.
- CVE-2019-18233: La falta de neutralización de los caracteres especiales en la respuesta de error, podría permitir a los atacantes llevar a cabo ataques del tipo XSS reflejado.
- CVE-2019-18231: El inicio de sesión y la contraseña se transmiten en texto claro, lo que podría permitir a un atacante interceptar la solicitud.
- CVE-2019-18235: Los parámetros insuficientes de autenticación requeridos en el inicio de sesión para la aplicación web, podrían permitir a un atacante obtener un acceso completo utilizando un ataque de fuerza bruta a la contraseña.
- CVE-2018-20679, CVE-2016-6301 y CVE-2015-9261: La utilización de una versión obsoleta del cifrado de contraseñas de BusyBox, podría permitir a un atacante descubrir las contraseñas.
- CVE-2016-2842, CVE-2016-0799 y CVE-2016-6304: La utilización de una versión no actualizada de OpenSSL, podría permitir a un atacante explotar vulnerabilidades conocidas en OpenSSL.
Recursos afectados
- Switches ethernet industriales BB-ESWGP506-2SFP-T, versiones 1.01.09 y anteriores.
- Router industrial Spectre RT ERT351, versiones de firmware 5.1.3 y anteriores.
Solución
- El producto BB-ESWGP506-2SFP-T se encuentra fuera de su vida útil, el fabricante recomienda sustituirlo por un modelo posterior, por ejemplo el EKI-7708-4FPI.
- Para Spectre RT ERT351, actualizar a la versión 6.2.7 o posteriores.
