Se
han reportado
tres vulnerabilidades en SendQuick
Entera & Avera SMS Gateway, consideradas de gravedad alta. Estas podrían
permitir a un atacante no autenticado provocar condiciones de denegación de servicio, obtener información
sensible del sistema o incluso ejecutar código arbitrario en los sistemas
afectados.
SendQuick Entera & Avera SMS
Gateway es un sistema activo de monitorización de redes que permite asegurar la
operatividad y disponibilidad informando al personal asignado cuando se
produzcan eventos de red de determinada criticidad y que requieran solución
inmediata. Permite control remoto del servidor y manejo de servicios.
En el primer problema, con
CVE-2017-5136, un atacante no autenticado podría provocar una denegación de
servicio (apagar el sistema) a través de peticiones especialmente manipuladas.
Este error es debido a una falta de comprobación en el control de acceso de
determinadas peticiones.
Una segunda vulnerabilidad, con
CVE-2017-5137, en el que un atacante no autenticado podría obtener información
sensible dentro del sistema (podría obtener información de cuentas a través de
la descarga de determinados logs del sistema) a través de peticiones especialmente
manipuladas. No ha sido especificado el error concreto que provoca esta
vulnerabilidad, pero podría deberse también a un error de falta de
comprobación.
Por último, con CVE-2016-10098, un
atacante no autenticado en el sistema podría ejecutar código arbitrario con los
privilegios del usuario a través de comandos especialmente manipulados. Este
error es debido a múltiples vulnerabilidades relacionadas con inyecciones de
comandos.
Afectan a versiones anteriores al
firmware 2HF16. Se recomienda actualizar a versiones superiores.
Más información:
Multiple Vulns in SendQuick Entera & Avera
SMS Gateway Appliances
sendQuick Avera
Juan Sánchez
No hay comentarios:
Publicar un comentario