Skip to main content
Múltiples vulnerabilidades en Sierra Wireless ALEOS
Recursos Afectados

Todos los dispositivos router AirLink que ejecuten versiones del software ALEOS anteriores a:

  • 4.9.9 (ES450, GX450);
  • 4.17.0.12 (MP70, RV50x, RV55, LX40, LX60).
Descripción

Stanislav Dashevskyi, investigador de ForeScout, ha reportado 8 vulnerabilidades de severidad alta en ALEOS, el sistema operativo de ciertos routers AirLink de Sierra Wireless.

4 - Alta
Solución

Actualizar ALEOS a las versiones:

  • 4.17.0.12 (MP70, RV50x, RV55, LX40, LX60);
  • 4.9.9 (ES450, GX450).
Detalle

Las vulnerabilidades detectadas se categorizan en los siguientes tipos (la vulnerabilidad CVE-2023-40465 podría emplearse para DoS, pero también para RCE):

  • denegación de servicio (CVE-2023-40458, CVE-2023-40459, CVE-2023-40462, CVE-2023-40465);
  • ejecución de script en el lado del cliente (CVE-2023-40460);
  • Cross-Site Scripting XSS (CVE-2023-40461);
  • credenciales accesibles para usuarios no autorizados (CVE-2023-40463);
  • Man in the middle (CVE-2023-40464);
  • ejecución remota de código (CVE-2023-40465).