Múltiples vulnerabilidades en Johnson Controls Software House C●CURE 9000
Fecha de publicación 10/07/2024
Identificador
INCIBE-2024-0350
Importancia
4 - Alta
Recursos Afectados
- Software House C●CURE 9000, versión 2.80 y anteriores (para la vulnerabilidad CVE-2024-32759).
- Software House C●CURE 9000 Site Server, versión 3.00.3 y anteriores (para la vulnerabilidad CVE-2024-32861).
Descripción
Reid Wightman, investigador de Dragos, ha reportado 2 vulnerabilidades de severidad alta al fabricante, cuya explotación podría permitir a un atacante obtener accesos a nivel de administrador u obtener las credenciales de acceso a la aplicación vulnerable.
Solución
- Actualizar Software House C●CURE 9000 a la versión 2.90 para solucionar la vulnerabilidad CVE-2024-32759.
- Eliminar los permisos de escritura en la ruta C:\CouchDB\bin dentro de Software House C●CURE 9000 Site Server para los usuarios que no son administradores, mitigando así la vulnerabilidad CVE-2024-32861.
Detalle
- Bajo ciertas condiciones, el instalador de Software House C●CURE 9000 podría utilizar credenciales débiles. Se ha asignado el identificador CVE-2024-32759 para esta vulnerabilidad.
- En determinadas circunstancias, Software House C●CURE 9000 Site Server podría proporcionar una protección insuficiente de los directorios que contienen ejecutables. Se ha asignado el identificador CVE-2024-32861 para esta vulnerabilidad.
Listado de referencias