CVE-2024-39601

Nome do software vulnerável e versões afetadas:

Versões do CPCI85 Central Processing/Communication anteriores à V5.40

Versões do sistema SICORE Base anteriores à V1.4.0

Descrição:

Foi identificada uma vulnerabilidade que permite que um usuário remoto autenticado ou um usuário não autenticado com acesso físico faça o downgrade do firmware do dispositivo. Isso poderia permitir que um invasor fizesse o downgrade do dispositivo para versões mais antigas com vulnerabilidades conhecidas. O problema está relacionado à falta de autenticação para uma função crítica, que pode ser explorada por um invasor remoto para reduzir a versão do firmware do dispositivo.

Recomendações:

Para versões do CPCI85 Central Processing/Communication anteriores à V5.40, atualize para a versão V5.40 ou posterior para resolver o problema.

Para versões do sistema SICORE Base anteriores à V1.4.0, atualize para a versão V1.4.0 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso físico aos dispositivos e limitar o acesso remoto apenas a usuários autenticados até que um patch seja aplicado.