Múltiples vulnerabilidades en C-MORE EA9 HMI de Automation-Direct

Fecha de publicación 27/03/2024
Importancia
4 - Alta
Recursos Afectados

C-MORE EA9 HMI, versión 6.77 y anteriores de los siguientes modelos:

  • T6CL;
  • T7CL;
  • T7CL-R;
  • T8CL;
  • T10CL;
  • T10WCL;
  • T12CL;
  • T15CL;
  • T15CL-R;
  • RHMI;
  • PGMSW.
Descripción

Tomer Goldschmidt, de Claroty Research - Team82, ha notificado 3 vulnerabilidades de severidades 1 alta y 2 medias. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante explotar un dispositivo remoto e inyectar código malicioso en el panel.

Solución

AutomationDirect recomienda que los usuarios actualicen C-MORE EA9 HMI a V6.78.

Detalle

La vulnerabilidad de severidad alta afecta a la limitación inadecuada de un nombre de ruta de un directorio restringido ("Path Traversal"). Su explotación podría permitir a un atacante enviar una ruta relativa en la URL sin una desinfección adecuada del contenido. Se ha asignado el identificador CVE-2024-25136 para esta vulnerabilidad.

Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2024-25137 y CVE-2024-25138.

Listado de referencias
ICSA-24-086-01 - Automation-Direct C-MORE EA9 HMI
Etiquetas