| CVE | N/A |
|---|---|
| Resumen del asesoramiento | Algunos escáneres de seguridad muestran que los métodos HTTP OPTIONS/DELETE están activados, marcando una vulnerabilidad potencial sin más comprobaciones, disparando una falsa alarma sobre Command Enterprise. |
| Productos o componentes | Comando Empresa |
| Abordado en la publicación | Sin impacto en los productos de March Networks |
| Gravedad | N/A |
| Billete | SV-29 |
Descripción
Algunos escáneres de seguridad muestran que los métodos HTTP OPTIONS/DELETE están activados, señalando una posible vulnerabilidad sin más comprobaciones.
En los servidores web más antiguos, los métodos HTTP OPTIONS y DELETE no eran muy utilizados y no estaban estandarizados como parte de la especificación HTTP. Su uso y funcionalidad variaba entre los diferentes servidores e implementaciones. HTTP OPTIONS se utilizaba principalmente como método experimental para recuperar información sobre las opciones de comunicación del servidor, pero su uso y propósito no era consistente entre servidores. El método HTTP DELETE se utilizaba en algunos casos para solicitar el borrado de un archivo, pero no era un método estandarizado para el borrado de archivos en la web.
Hoy en día, el método HTTP OPTIONS se utiliza ampliamente como una forma estándar para que los clientes soliciten información sobre las opciones de comunicación disponibles para un recurso en una API RESTful, incluyendo qué métodos son compatibles, mientras que el método HTTP DELETE se utiliza como una forma estándar para solicitar la eliminación de un recurso. Es importante tener en cuenta que REST es sólo un estilo arquitectónico, y su implementación puede variar. Sin embargo, seguir las mejores prácticas de REST y utilizar medidas de seguridad establecidas, como la transmisión segura de datos a través de TLS y la validación de entrada adecuada, puede ayudar a reducir el riesgo de vulnerabilidades de seguridad en una aplicación RESTful.
Impacto
La API RESTful utilizada en nuestro Command Enterprise permite las ejecuciones de estos métodos sólo después de verificar la autorización, y sólo utilizando canales cifrados TLS, por lo que la presencia de estos métodos no afecta a su seguridad de ninguna manera.
Revisión
3 de febrero de 2023 - Informe público inicial
Descargo de responsabilidad
La evaluación de March Networksde esta vulnerabilidad de seguridad depende de que los productosNetworks March Networks estén actualizados a la versión recomendada y/o nivel de parche de seguridad y que el sistema haya sido desplegado y configurado, de acuerdo con las recomendaciones de seguridad March Networks y las mejores prácticas de la industria. ES RESPONSABILIDAD DEL CLIENTE EVALUAR EL EFECTO DE CUALQUIER VULNERABILIDAD DE SEGURIDAD. No actualizar los productosNetworks March Networks y/o no seguir las recomendaciones de March Networks o las mejores prácticas de la industria puede aumentar el riesgo asociado con una vulnerabilidad de seguridad. March Networks sigue las prácticas líderes de la industria para abordar las vulnerabilidades de seguridad en nuestros productos. Aunque March Networks no puede garantizar que nuestros productos estarán libres de vulnerabilidades de seguridad, nos comprometemos a proporcionar actualizaciones y correcciones de seguridad, para nuestros productos compatibles, siempre y cuando se determine que una vulnerabilidad de alta seguridad afecta a los productos de March Networks .