Introducción
El portal CERT de Siemens[1], ha publicado una vulnerabilidad clasificada como crítica encontrada en el Siemens Siveillance Video Mobile Server V2022 R2[2].
Análisis
Un componente del Mobile Server no gestiona correctamente el inicio de sesión para las cuentas de Active Directory que forman parte del grupo Administradores. Esto podría permitir que un atacante remoto no autenticado acceda a la aplicación sin una cuenta válida.
La vulnerabilidad de severidad crítica tiene asignada el el identificador CVE-2022-43400, mediante la manipulación de un input desconocido se causa una vulnerabilidad de clase autenticación débil. Los efectos exactos de un ataque con éxito no son conocidos y tampoco se conocen exploits disponibles.
Recomendaciones
Actualizando a la versión 22.2a se elimina esta vulnerabilidad.
Referencias