Vulnerabilidad en Voltronic Power ViewPower Pro (CVE-2023-51570)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-502 Deserialización de datos no confiables

Fecha de publicación:

01/04/2024

Última modificación:

07/07/2025

Descripción

Vulnerabilidad de ejecución remota de código de deserialización de datos no confiables en Voltronic Power ViewPower Pro. Esta vulnerabilidad permite a atacantes remotos ejecutar código arbitrario en instalaciones afectadas de Voltronic Power ViewPower Pro. No se requiere autenticación para aprovechar esta vulnerabilidad. La falla específica existe dentro de la interfaz RMI, que escucha en el puerto TCP 41009 de forma predeterminada. El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede provocar la deserialización de datos que no son de confianza. Un atacante puede aprovechar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Era ZDI-CAN-21012.

Impacto

Vector 3.x

CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto