PT-2020-16976 · Barco · Barco Wepresent Wipg-1600W
Jim Becher
+1
·
Publicado
2020-11-24
·
Atualizado
2020-12-04
·
CVE-2020-28329
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Barco wePresent WiPG-1600W versões 2.4.1.19, 2.5.0.24, 2.5.0.25, 2.5.1.8
Descrição
O firmware do Barco wePresent WiPG-1600W inclui uma conta e senha de API codificadas que podem ser descobertas ao inspecionar a imagem do firmware. Isso permite que um agente mal-intencionado use a senha para acessar funções administrativas autenticadas na API.
Recomendações
Para a versão 2.4.1.19, atualize para uma versão que não inclua a conta e a senha da API codificadas.
Para a versão 2.5.0.24, atualize para uma versão que não inclua a conta e a senha da API codificadas.
Para a versão 2.5.0.25, atualize para uma versão que não inclua a conta e a senha da API codificadas.
Para a versão 2.5.1.8, atualize para uma versão que não inclua a conta e a senha da API codificadas.
Como solução alternativa temporária, considere restringir o acesso às funções da API administrativa até que um patch esteja disponível.
Exploit
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Barco Wepresent Wipg-1600W