Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Inyección de comandos sobre el sistema operativo en CONPROSYS HMI System de Contec

Fecha de publicación 14/12/2022
Identificador

INCIBE-2022-1052

Importancia
5 - Crítica
Recursos Afectados

CONPROSYS HMI System (CHS): versiones 3.4.4 y anteriores.

Descripción

Floris Hendriks y Jeroen Wijenbergh, de la Universidad Radboud, han reportado a Contec una vulnerabilidad de inyección de comandos sobre el sistema operativo (OS Command Injection), que afecta al dispositivo CONPROSYS HMI System.

Solución

Contec recomienda actualizar el software del dispositivo afectado a la versión 3.4.5 o posteriores (ver más información en el apartado de referencias).

Detalle

El dispositivo de Contec CONPROSYS HMI System es vulnerable a una inyección de comandos sobre el sistema operativo. Un atacante remoto, no autenticado, podría explotar esta vulnerabilidad con el objetivo de enviar peticiones especialmente diseñadas, que podrían ejecutar comandos en el servidor. Se ha asignado el identificador CVE-2022-44456 para esta vulnerabilidad.

Encuesta valoración