Múltiples vulnerabilidades en InfraSuite Device Master de Delta Electronics
InfraSuite Device Master: versiones 1.0.7 y anteriores.
Hir0ot y Piotr Bazydlo, de Trend Micro Zero Day Initiative, han informado de 4 vulnerabilidades de severidad alta y crítica que podrían permitir a un atacante ejecutar código arbitrario de forma remota y obtener credenciales de texto sin formato.
Delta Electronics recomienda actualizar su software a la versión 1.0.10 o posterior.
Las vulnerabilidades de severidad crítica son de tipo limitación incorrecta de una ruta a un directorio restringido (path traversal) y deserialización de datos no confiables. Su explotación podría provocar una ejecución remota de código con privilegios de administrador local y través de un único paquete UDP. Se han asignado los identificadores CVE-2023-47207 y CVE-2023-39226 para estas vulnerabilidades.
Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2023-46690 y CVE-2023-47279.
