Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en productos de Honeywell

Fecha de publicación 21/12/2023
Identificador
INCIBE-2023-0579
Importancia
4 - Alta
Recursos Afectados
  • Saia PG5 Controls Suite.
Descripción

Kimiya ha reportado dos vulnerabilidades 0day a ZDI de severidad alta que podrían permitir ejecución remota de código arbitrario en instalaciones afectadas.

Solución

Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación destacada es restringir la interacción con la aplicación.

Detalle

Las vulnerabilidades afectan a la falta de validación adecuada, en archivos ZIP y CAB, de una ruta proporcionada por el usuario antes de usarla en operaciones de archivos. Un atacante puede aprovechar estas vulnerabilidades para ejecutar código en el contexto del usuario actual.

Se han asignado los identificadores CVE-2023-51599 y CVE-2023-51603 para estas vulnerabilidades.

Listado de referencias
(0Day) Honeywell Saia PG5 Controls Suite CAB File Parsing Directory Traversal Remote Code Execution Vulnerability
(0Day) Honeywell Saia PG5 Controls Suite Directory Traversal Remote Code Execution Vulnerability
Etiquetas