Inyección de comandos en el sistema operativo en productos Wago
Switch industrial gestionado, versiones:
- modelo nº 0852-0602 y 0852-0603, versiones inferiores a 1.0.6.S0;
- modelo nº 0852-1605, versiones inferiores a 1.2.5.S0.
INTILION AG y GAI NetConsult han descubierto y reportado una vulnerabilidad de severidad crítica, que afecta a distintos modelos de switch industriales gestionados de WAGO GmbH & Co. KG, cuya publicación ha sido coordinada por el CERT@VDE.
WAGO recomienda a todos los usuarios afectados de los productos 0852-0602, 0852-0603 actualizar a la versión de firmware 1.0.6.S0 y a todos los usuarios afectados del 852-1605 actualizar a la versión de firmware 1.2.5.S0.
Una vulnerabilidad en la gestión basada en web permite a un atacante remoto no autenticado inyectar comandos arbitrarios del sistema y obtener el control total del mismo. Estos comandos se ejecutan con privilegios de root. La vulnerabilidad se encuentra en la gestión de peticiones de usuario de la gestión basada en web.
Se ha asignado el identificador CVE-2023-4149 para esta vulnerabilidad.
