Múltiples vulnerabilidades en productos de mySCADA
Fecha de publicación 24/01/2025
Identificador
INCIBE-2025-0035
Importancia
5 - Crítica
Recursos Afectados
- myPRO Manager: versiones anteriores a 1.3;
- myPRO Runtime: versiones anteriores a 9.2.1.
Descripción
Mehmet INCE (@mdisec) de PRODAFT.com, en colaboración con Trend Micro Zero Day Initiative (ZDI), ha reportado 2 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante remoto ejecutar comandos arbitrarios o revelar información sensible.
Solución
Detalle
- MySCADA myPRO no neutraliza correctamente las solicitudes POST enviadas a un puerto específico con información de correo electrónico. Esta vulnerabilidad podría ser explotada por un atacante para ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2025-20061 para esta vulnerabilidad.
- MySCADA myPRO no neutraliza correctamente las peticiones POST enviadas a un puerto específico con información sobre la versión. Esta vulnerabilidad podría ser explotada por un atacante para ejecutar comandos arbitrarios en el sistema afectado. Se ha asignado el identificador CVE-2025-20014 para esta vulnerabilidad.
Listado de referencias