Introducción
INCIBE[1] ha coordinado la publicación de 7 vulnerabilidades descubiertas por el investigador Joel Gámez Molina (@JoelGMSec) en el adaptador UPS CS141 de Generex[2].
Análisis
La única vulnerabilidad de severidad crítica entre las reportadas es:
- CVE-2022-47190: validación de entrada inadecuada (CWE-20)
Un atacante remoto podría cargar un archivo de firmware que contenga un webshell, permitiéndole ejecutar código arbitrario como root.
Los modelos afectados son:
- UPS CS141, versiones anteriores a 2.06
Recomendaciones
Estas vulnerabilidades han sido corregidas por el equipo de Generex en la versión 2.06 del dispositivo afectado, publicada en abril de 2022[3].
Referencias
[1] INCIBE[2] Ficha de producto
[3] Notas de parche