Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Siemens SINEC Security Monitor (CVE-2024-47563)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
08/10/2024
Última modificación:
11/10/2024

Descripción

Se ha identificado una vulnerabilidad en Siemens SINEC Security Monitor (todas las versiones anteriores a la V4.9.0). La aplicación afectada no valida correctamente la ruta de archivo que se proporciona a un endpoint destinado a crear archivos CSR. Esto podría permitir que un atacante remoto no autenticado cree archivos en directorios editables fuera de la ubicación prevista y, por lo tanto, comprometa la integridad de los archivos en esos directorios editables.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:siemens:sinec_security_monitor:*:*:*:*:*:*:*:* 4.9.0 (excluyendo)


Referencias a soluciones, herramientas e información