Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de mySCADA

Fecha de publicación 22/11/2024
Identificador
INCIBE-2024-0578
Importancia
5 - Crítica
Recursos Afectados
  • myPRO Manager: versiones anteriores a 1.3;
  • myPRO Runtime: versiones anteriores a 9.2.1.
Descripción

Michael Heinzl ha informado de 5 vulnerabilidades: 4 de severidad crítica y 1 alta que podrían permitir a un atacante remoto ejecutar comandos arbitrarios o revelar información confidencial.

Solución

mySCADA recomienda actualizar a las últimas versiones.

  • mySCADA PRO Manager 1.3.
  • mySCADA PRO Runtime 9.2.1.
Detalle

Las vulnerabilidades de severidades críticas se clasifican en:

  • Inyección de comandos del sistema operativo (CVE-2024-47407 y CVE-2024-52034). Podría ser aprovechado por un atacante remoto no autenticado para inyectar comandos arbitrarios del sistema operativo.
  • Autenticación incorrecta (CVE-2024-45369). Un atacante remoto, no autenticado, puede aprovechar un parámetro dentro de un comando para inyectar otros arbitrarios del sistema operativo.
  • Ausencia de autenticación para una función crítica (CVE-2024-47138). La aplicación web utiliza un mecanismo de autenticación débil para verificar que una solicitud proviene de un recurso autenticado y autorizado.

Se ha asignado el identificador CVE-2024-50054 para la vulnerabilidad de severidad alta.