Inyección de comandos sobre el sistema operativo en Altenergy Power Control Software de APSystems

Fecha de publicación 02/08/2023

Identificador

INCIBE-2023-0314

Importancia

5 - Crítica

Recursos Afectados

Altenergy Power Control Software, versión C1.2.5.

Descripción

Ahmed Alroky y Superzerosec han reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante la ejecucion de código de forma remota.

Solución

Por el momento, APSystems no ha proporcionado medidas de mitigación para esta vulnerabilidad. CISA recomienda a los usuarios afectados contactar con APSystems para solicitar información adicional.

Detalle

La inyección de comandos del sistema operativo afecta al software Altenergy Power Control C1.2.5 a través de metacaracteres de shell en el parámetro timezone de index.php/management/set_timezone, debido a set_timezone en models/management_model.php.

Listado de referencias

ICSA-23-213-01: APSystems Altenergy Power Control

Etiquetas

0day
Sector energía
Infraestructura crítica
Vulnerabilidad