CVE-2020-36283

**Nome do software vulnerável e versões afetadas:

Leitores HID OMNIKEY 5427 e HID OMNIKEY 5127 (versões afetadas não especificadas)

Descrição:

O problema está relacionado à autenticação insuficiente de solicitações executadas no driver EEM dos dispositivos leitores de cartão inteligente HID OMNIKEY 5427 e HID OMNIKEY 5127. Isso pode ser explorado por um invasor remoto para realizar ataques de cross-site scripting (XSS) enviando solicitações HTTP especialmente criadas. Um invasor também poderia fazer upload de um arquivo de configuração para o dispositivo, persuadindo um usuário autenticado a visitar um site malicioso, o que poderia levar ao envenenamento do cache da web e outras atividades maliciosas.

Recomendações:

Para os leitores HID OMNIKEY 5427 e HID OMNIKEY 5127, considere desativar o driver EEM até que uma correção esteja disponível para evitar a exploração.

Restrinja o acesso ao recurso de upload de configuração do dispositivo para minimizar o risco de uploads maliciosos de arquivos de configuração.

Evite usar o dispositivo em ambientes onde ele possa ser exposto a solicitações HTTP maliciosas até que o problema seja resolvido.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.