Múltiples vulnerabilidades 0day en Inductive Automation Ignition
Fecha de publicación 09/08/2023
Importancia
5 - Crítica
Recursos Afectados
Ignition.
Descripción
Varios investigadores han reportado 5 vulnerabilidades 0day, 2 de severidad crítica y 3 altas, cuya explotación podría permitir a un atacante ejecutar código remoto o provocar una condición de denegación de servicio (DoS).
Solución
Dada la naturaleza de las vulnerabilidades, al tratarse de 0day, la única estrategia de mitigación consiste en limitar el uso de la aplicación.
Detalle
Las vulnerabilidades críticas se describen a continuación:
- La vulnerabilidad se ha detectado en la clase JavaSerializationCodec, debido a la falta de validación adecuada de los datos suministrados por el usuario, lo que podría dar lugar a la deserialización de datos no fiables. Un atacante podría ejecutar código en el contexto de SYSTEM. Se ha asignado el identificador CVE-2023-39476 para esta vulnerabilidad.
- El fallo se encuentra en la clase ParameterVersionJavaSerializationCodec, originado por la falta de validación correcta de los datos proporcionados por el usuario, lo que podría dar lugar a la deserialización de datos no fiables. Un atacante podría explotar esta vulnerabilidad para ejecutar código en el contexto de SYSTEM. Se ha asignado el identificador CVE-2023-39475 para esta vulnerabilidad.
El resto de vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2023-39473, CVE-2023-39474 y CVE-2023-39477.
Listado de referencias
Etiquetas
