Múltiples vulnerabilidades en ThinManager ThinServer de Rockwell Automation

Fecha de publicación 01/07/2024
Importancia
5 - Crítica
Recursos Afectados

ThinManager ThinServer, versiones:

  • 11.1.0;
  • 11.2.0;
  • 12.0.0;
  • 12.1.0;
  • 13.0.0;
  • 13.1.0;
  • 13.2.0.
Descripción

Rockwell Automation ha notificado 3 vulnerabilidades de tipo validación de datos de entrada incorrecta, 2 de severidad crítica y 1 alta, que afectan a varias versiones de su producto ThinManager ThinServer.

Solución

Actualizar ThinManager ThinServer a las siguientes versiones:

  • 11.1.8;
  • 11.2.9;
  • 12.0.7;
  • 12.1.8;
  • 13.0.4;
  • 13.0.5;
  • 13.1.2;
  • 13.1.3;
  • 13.2.2.
Detalle

Las vulnerabilidades críticas se describen a continuación:

  • Debido a una validación de entrada incorrecta, un atacante, no autenticado, podría enviar un mensaje malicioso para invocar un ejecutable local o remoto y provocar una condición de ejecución remota de código en el dispositivo afectado. Se ha asignado el identificador CVE-2024-5988 para esta vulnerabilidad.
  • Debido a una validación de entrada incorrecta, un atacante, no autenticado, podría enviar un mensaje especialmente diseñado para realizar una inyección SQL en el programa y provocar la ejecución remota de código en el dispositivo afectado. Se ha asignado el identificador CVE-2024-5989 para esta vulnerabilidad.

La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2024-5990.