Bosch ha publicado un aviso de seguridad para una vulnerabilidad de severidad crítica, que permitiría a un atacante realizar inyección de entidad externa (XXE) en el sistema afectado.
La vulnerabilidad CVE-2018-1285 de severidad crítica, con una puntuación asignada de 9.8. Esta se debe a la restricción incorrecta de la referencia de entidad externa XML (Extensible Markup Language) en BVMS (Bosch Video Management Software). Las versiones de Apache log4net no deshabilitan las entidades externas XML al analizar los archivos de configuración de log4net. Esto permitiría al atacante realizar ataques basados en la inyección de entidad externa (XXE) en aplicaciones que aceptan archivos de configuración log4net controlados por el mismo.
Cuando BVMS se instala en una carpeta donde los usuarios de bajo privilegio tienen acceso de escritura, BVMS se ve afectado por esta vulnerabilidad de seguridad, que potencialmente permite el ataque mencionado.
Los productos afectados en Bosch son:
- Bosch BVMS hasta e incluyendo la versión 9.0.0.
- Bosch BVMS versión 10,0 hasta e incluyendo la versión 10.0.2
- Bosch BVMS versión 10,1 hasta e incluyendo la versión 10.1.1
- Bosch BVMS versión 11,0 hasta e incluyendo la versión 11,1,0
- Bosch DIVAR IP 7000 R2
- Bosch DIVAR IP todo en uno 5000
- Bosch DIVAR IP todo en uno 7000
Recomendamos instalar BVMS (Bosch Video Management Software) en un directorio donde los usuarios del SO con pocos privilegios no tengan permisos de escritura. Cuando BVMS se instala en la ubicación predeterminada %ProgramFiles%, la vulnerabilidad solo se puede aprovechar cuando el atacante ya posee privilegios administrativos en el sistema operativo.
Referencias: