Múltiples vulnerabilidades en ViewPower Pro de Voltronic Power
ViewPower Pro, versión 2.0-22165.
Simon Janz (@esj4y), investigador de ZDI, de Trend Micro, ha reportado 4 vulnerabilidades que afectan a ViewPower Pro de Voltronic Power, 3 de severidad crítica y 1 alta. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante crear una condición de denegación de servicio, obtener credenciales de administrador o lograr la ejecución remota de código.
El fabricante no respondió a los intentos de coordinación de CISA. Se recomienda a los usuarios de los productos afectados que se pongan en contacto con Voltronic Power y mantengan sus sistemas actualizados.
Adicionalmente, CISA recomienda aplicar las medidas defensivas para minimizar el riesgo de explotación de estas vulnerabilidades descritas en su aviso.
Las vulnerabilidades críticas se describen a continuación:
- El producto afectado deserializa datos que no son de confianza sin verificar suficientemente que los datos resultantes serán válidos. Se ha asignado el identificador CVE-2023-51570 para esta vulnerabilidad.
- El producto afectado es vulnerable a una inyección de comandos del sistema operativo, que podría permitir la ejecución remota de código en el sistema operativo subyacente. Se ha asignado el identificador CVE-2023-51572 para esta vulnerabilidad.
- El producto afectado podría permitir a un usuario, no autenticado, invocar un método para modificar la contraseña de la cuenta de administrador. Se ha asignado el identificador CVE-2023-51573 para esta vulnerabilidad.
La vulnerabilidad alta tiene asignado el identificador CVE-2023-51571.
