El investigador, Aarón Flecha Menéndez, ha reportado 7 vulnerabilidades detectadas en el producto MOD3GP-SY-120K de Socomec, 1 de severidad crítica, 4 altas y 2 medias. La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código JavasScript malicioso, obtener información sensible o robar cookies de sesión.
Análisis
La vulnerabilidad de severidad crítica[1] es la siguiente:
- CVE-2023-41084 : Consiste en una gestión incorrecta de sesiones dentro de la aplicación web y podría permitir a un atacante robar las cookies de sesión para realizar multitud de acciones que la aplicación web permite en el dispositivo.
La vulnerabilidad afecta al MODULYS GP (MOD3GP-SY-120K), versión de firmware web 01.12.10.
Recomendaciones
El fabricante informa que MODULYS GP (MOD3GP-SY-120K) es un producto que se encuentra en su fin de vida útil (EoL), por lo que recomienda sustituirlo por MODULYS GP2 (M4-S-XXX) para no estar expuesto a estas vulnerabilidades.
Referencias
[1] Socomec MOD3GP-SY-120K