INCIBE ha coordinat la publicació d’una vulnerabilitat de severitat alta que afecta l’encaminador FAST3686 V2 Vodafone (fabricat per Sagemcom), dispositiu maquinari que permet l’accés a internet.
Anàlisis
A esta vulnerabilitat se li ha assignat el següent codi, puntuació base CVSS v3.1, vector del CVSS i el tipus de vulnerabilitat CWE:
CVE-2024-1623: 7.7 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-613
CVE-2024-1623: vulnerabilitat d’expiració de sessió insuficient en l’encaminador FAST3686 V2 Vodafone del fabricant Sagemcom. Esta vulnerabilitat podria permetre a un atacant local accedir al panell d’administració sense requerir credencials d’inici de sessió. Esta vulnerabilitat és possible pel fet que els arxius ‘Login.asp i logout.asp’ no gestionen correctament els detalls de la sessió.
Recursos afectats
Router FAST3686 V2 Vodafone, totes les versions anteriors a FAST3686_ONO-SIP_3.709.2.
Recomanacions
Vulnerabilitat solucionada en la versió FAST3686_ONO-SIP_3.709.2 (llançada el juliol del 2023).
Referències
https://www.papercut.com/kb/Main/Security-Bulletin-March-2024