Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump

Fecha de publicación 24/03/2023
Identificador

INCIBE-2023-0112

Importancia
5 - Crítica
Recursos Afectados
  • Controlador de bomba Osprey versión 1.01 
Descripción

Gjoko Krstic, de Zero Science Lab, ha informado de 9 vulnerabilidades: 4 de ellas de severidad crítica y 5 de severidad alta. Su explotación podría permitir que un atacante obtenga acceso no autorizado, recupere información confidencial, modifique datos, provoque una denegación de servicio y/o obtenga control administrativo.  

Solución

Se recomienda a los usuarios del producto afectado que  se comuniquen con el representante de ProPump and Controls.

Detalle

Las 4 vulnerabilidades de severidad crítica podrían permitir:

  • uso de una contraseña codificada (CVE-2023-28654);
  • inyección de comandos de sistema operativo (CVE-2023-27886 y CVE-2023-27394);
  • omitir la autenticación utilizando una ruta o canal alternativo (CVE-2023-2839).

Para el resto de vulnerabilidades de severidad alta se han asignado los siguientes identificadores: CVE-2023-28395, CVE-2023-28375, CVE-2023-28648, CVE-2023-28718 y CVE-2023-28712.

Encuesta valoración

Listado de referencias
ICSA-23-082-06 - ProPump and Controls Osprey Pump Controller
Etiquetas