Se han reportado tres vulnerabilidades en SendQuick Entera & Avera SMS Gateway, consideradas de gravedad alta. Estas podrían permitir a un atacante no autenticado provocar condiciones de denegación de servicio, obtener información sensible del sistema o incluso ejecutar código arbitrario en los sistemas afectados.

SendQuick Entera & Avera SMS Gateway es un sistema activo de monitorización de redes que permite asegurar la operatividad y disponibilidad informando al personal asignado cuando se produzcan eventos de red de determinada criticidad y que requieran solución inmediata. Permite control remoto del servidor y manejo de servicios.

Detalle de la vulnerabilidad

  • En el primer problema, con CVE-2017-5136, un atacante no autenticado podría provocar una denegación de servicio (apagar el sistema) a través de peticiones especialmente manipuladas. Este error es debido a una falta de comprobación en el control de acceso de determinadas peticiones.
  • Una segunda vulnerabilidad, con CVE-2017-5137, en el que un atacante no autenticado podría obtener información sensible dentro del sistema (podría obtener información de cuentas a través de la descarga de determinados logs del sistema) a través de peticiones especialmente manipuladas. No ha sido especificado el error concreto que provoca esta vulnerabilidad, pero podría deberse también a un error de falta de comprobación.
  • Por último, con CVE-2016-10098, un atacante no autenticado en el sistema podría ejecutar código arbitrario con los privilegios del usuario a través de comandos especialmente manipulados. Este error es debido a múltiples vulnerabilidades relacionadas con inyecciones de comandos.

Recursos afectados

  • Afectan a versiones anteriores al firmware 2HF16. Se recomienda actualizar a versiones superiores.

Más información:

Fuente: Hispasec

Anuncios