Múltiples vulnerabilidades en Dream Report de Ocean Data Systems

Fecha de publicación 14/08/2024
Importancia
4 - Alta
Recursos Afectados
  • Dream Report 2023: versiones 23.0.17795.1010 y anteriores.
  • AVEVA Reports for Operations 2023: versión 23.0.17795.1010.
Descripción

CISA ha publicado una nota de seguridad en donde se detallan 2 nuevas vulnerabilidades de severidad alta que afectan a Dream Report de la compañía Ocean Data Systems.

Las vulnerabilidades fueron reportadas a CISA por Claroty de Team82.

Solución
  • Actualizar Dream Report 2023 R2 a la versión 23.3.18952.0523.
  • Actualizar AVEVA Reports for Operations 2023 a la versión R2 o posterior.
Detalle
  • CVE-2024-6618: en Dream Report, un atacante podría realizar la ejecución remota de código a través de una inyección de DLL maliciosa aprovechando la vulnerabilidad que limita incorrectamente el acceso a un directorio restringido.
  • CVE-2024-6619: en Dream Report, una vulnerabilidad de asignación de permisos incorrectos podría permitir a un atacante local sin privilegios escalar los suyos y causar una denegación de servicio.