| CVE | N/A |
|---|---|
| Resumen del asesoramiento | Un usuario autorizado de Command Enterprise podría falsificar un mensaje de control a través de la API de Command para modificar la visibilidad de los recursos fuera del acceso aprobado. |
| Productos o componentes | Comando Empresa |
| Abordado en la publicación | 2.16.0 |
| Gravedad | Alta |
| Billete | SV-80 |
Descripción
Se descubrió que Command Enterprise era vulnerable a un exploit en el que un usuario autorizado podía falsificar un mensaje de control a través de la API de Command para modificar la visibilidad de los recursos fuera del acceso aprobado.
Impacto
Un usuario malintencionado, sin acceso a ciertos recursos en la topología, puede explotar esta vulnerabilidad para añadir, modificar o eliminar recursos que son vistos por otros usuarios. Esto puede dar lugar a una escalada de privilegios de los recursos gestionados por Command Enterprise (incluidos canales de vídeo, alarmas y conmutadores).
Solución
Actualice Command Enterprise al software más reciente, Command Enterprise Suite 2.16.0, que corrige esta vulnerabilidad.
Descargas
Visite nuestro portal para socios para descargar Command Enterprise Suite 2.16.0.
Créditos
March Networks desea agradecer a Siemens Mobility GmbH por reportar esta vulnerabilidad.
Revisión
3 de febrero de 2023 - Informe público inicial
Descargo de responsabilidad
La evaluación de March NetworksNetworks de esta vulnerabilidad de seguridad depende de que los productos de March Networks Networks estén actualizados a la versión recomendada y/o nivel de parche de seguridad y que el sistema haya sido desplegado y configurado, de acuerdo con las recomendaciones de seguridad March Networks y las mejores prácticas de la industria. ES RESPONSABILIDAD DEL CLIENTE EVALUAR EL EFECTO DE CUALQUIER VULNERABILIDAD DE SEGURIDAD. No actualizar los productos de March Networks Networks y/o no seguir las recomendaciones de March Networks o las mejores prácticas de la industria puede aumentar el riesgo asociado con una vulnerabilidad de seguridad. March Networks sigue las prácticas líderes de la industria para abordar las vulnerabilidades de seguridad en nuestros productos. Aunque March Networks Networks no puede garantizar que nuestros productos estarán libres de vulnerabilidades de seguridad, nos comprometemos a proporcionar actualizaciones y correcciones de seguridad, para nuestros productos compatibles, siempre y cuando se determine que una vulnerabilidad de alta seguridad afecta a los productos de March Networks Networks.