L’investigador, Aarón Flecha Menéndez, ha reportat 7 vulnerabilitats detectades al producte MOD3GP-SY-120K de Socomec, 1 de severitat crítica, 4 altes i 2 mitjanes. L’explotació d’aquestes vulnerabilitats podria permetre a un atacant executar codi Javascript maliciós, obtenir informació sensible o robar cookies de sessió.
Anàlisi
La vulnerabilitat de severitat crítica[1] es la següent:
- CVE-2023-41084 :Consisteix en una gestió incorrecta de sessions dins de l’aplicació web i podria permetre a un atacant robar les cookies de sessió per realitzar multitud d’accions que l’aplicació web permet al dispositiu.
La vulnerabilitat afecta el MODULYS GP (MOD3GP-SY-120K), versió de firmware web 01.12.10.
Recomanacions
El fabricant informa que MODULYS GP (MOD3GP-SY-120K) és un producte que es troba al final de la seua vida útil (EoL), per la qual cosa recomana substituir-lo per MODULYS GP2 (M4-S-XXX) per no estar exposat a aquestes vulnerabilitats.
Referències
[1] Socomec MOD3GP-SY-120K