Cabecera-v2-web.jpg

Múltiples vulnerabilidades en ctrlX CORE de Bosch


21/04/2022

Se han reportado 25 vulnerabilidades en ctrlX CORE de Bosch, que permitirían a un atacante realizar escalamiento de privilegios, obtener acceso al sistema o causar una denegación de servicio (DoS) del dispositivo.



Las vulnerabilidades reportadas se componen de 10 (diez) de severidad “crítica”, 8 (ocho) de severidad “alta”, 4 (cuatro) de severidad “media”, 1 (una) de severidad “baja” y 2 (dos) sin severidad asignada. Las principales se detallan a continuación:

CVE-2022-25236, de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se debe a un error en el código xmlparse.c de la librería Expat y permitiría a un atacante pasar uno o más caracteres separadores de espacio de nombres en URIs.

CVE-2022-25235 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se debe a una incorrecta validación de encoding en el código xmltok_impl.c de la librería Expat y permitiría a un atacante realizar ejecución remota de código (RCE).

CVE-2022-23990 de severidad crítica, con una puntuación de 9.8. Esta vulnerabilidad se relaciona a una falla en la función doProlog, que permite un desbordamiento de enteros. Esta falla permitiría a un atacante bloquear o provocar denegación de servicio (DoS).

Se puede acceder al listado completo de los detalles sobre las vulnerabilidades aquí.

Los productos afectados en Bosch son:

  • ctrlX CORE, versiones anteriores a XCR-V-0114.1.
  • ctrlX CORE (LTS), versiones anteriores a XCR-V-0112.15.
  • ctrlX CORE (Node-Red), versiones anteriores a RED-V-0114.4.
  • ctrlX CORE (Node-Red) (LTS), versiones anteriores a RED-V-0112.4.

Recomendamos la actualización a las siguientes versiones:

  • core20 20220318 (parte de XCR-V-0112.15).
  • RED-V-0112.4 (rama LTS).
  • core20 20220318 (parte de XCR-V-0114.1).
  • RED-V-0114.4.

Adicionalmente recomendamos los siguientes enlaces para contactar al soporte y adquirir las actualizaciones correspondientes:

Referencias:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11