Múltiples vulnerabilidades en Dream Report de Ocean Data Systems
Fecha de publicación 14/08/2024
Importancia
4 - Alta
Recursos Afectados
- Dream Report 2023: versiones 23.0.17795.1010 y anteriores.
- AVEVA Reports for Operations 2023: versión 23.0.17795.1010.
Descripción
CISA ha publicado una nota de seguridad en donde se detallan 2 nuevas vulnerabilidades de severidad alta que afectan a Dream Report de la compañía Ocean Data Systems.
Las vulnerabilidades fueron reportadas a CISA por Claroty de Team82.
Solución
- Actualizar Dream Report 2023 R2 a la versión 23.3.18952.0523.
- Actualizar AVEVA Reports for Operations 2023 a la versión R2 o posterior.
Detalle
- CVE-2024-6618: en Dream Report, un atacante podría realizar la ejecución remota de código a través de una inyección de DLL maliciosa aprovechando la vulnerabilidad que limita incorrectamente el acceso a un directorio restringido.
- CVE-2024-6619: en Dream Report, una vulnerabilidad de asignación de permisos incorrectos podría permitir a un atacante local sin privilegios escalar los suyos y causar una denegación de servicio.
Listado de referencias