Múltiples vulnerabilidades en productos de mySCADA
Fecha de publicación 22/11/2024
Identificador
INCIBE-2024-0578
Importancia
5 - Crítica
Recursos Afectados
- myPRO Manager: versiones anteriores a 1.3;
- myPRO Runtime: versiones anteriores a 9.2.1.
Descripción
Michael Heinzl ha informado de 5 vulnerabilidades: 4 de severidad crítica y 1 alta que podrían permitir a un atacante remoto ejecutar comandos arbitrarios o revelar información confidencial.
Solución
mySCADA recomienda actualizar a las últimas versiones.
- mySCADA PRO Manager 1.3.
- mySCADA PRO Runtime 9.2.1.
Detalle
Las vulnerabilidades de severidades críticas se clasifican en:
- Inyección de comandos del sistema operativo (CVE-2024-47407 y CVE-2024-52034). Podría ser aprovechado por un atacante remoto no autenticado para inyectar comandos arbitrarios del sistema operativo.
- Autenticación incorrecta (CVE-2024-45369). Un atacante remoto, no autenticado, puede aprovechar un parámetro dentro de un comando para inyectar otros arbitrarios del sistema operativo.
- Ausencia de autenticación para una función crítica (CVE-2024-47138). La aplicación web utiliza un mecanismo de autenticación débil para verificar que una solicitud proviene de un recurso autenticado y autorizado.
Se ha asignado el identificador CVE-2024-50054 para la vulnerabilidad de severidad alta.
Listado de referencias