Múltiples vulnerabilidades en Measuresoft ScadaPro

Fecha de publicación 24/08/2022
Importancia
4 - Alta
Recursos Afectados

ScadaPro Server y Client, todas las versiones.

Descripción

Dos investigadores han reportado 6 vulnerabilidades, 5 de severidad alta y 1 media, que podrían permitir a un atacante ejecutar código arbitrario, escalar privilegios o realizar una denegación de servicio.

Solución
  • Para solucionar la vulnerabilidad CVE-2022-2892, el fabricante ha publicado la versión 6.8.0.1;
  • para el resto de vulnerabilidades, el fabricante está desarrollando las medidas de mitigación necesarias.
Detalle

Las vulnerabilidades de severidad alta podrían permitir las siguientes acciones: escritura fuera de límites, punteros no confiables al procesar un archivo de proyecto específico, desbordamiento de búfer, uso de memoria después de ser liberada y escalada de privilegios. Se han asignado los identificadores CVE-2022-2892, CVE-2022-2894, CVE-2022-2895, CVE-2022-2896 y CVE-2022-2897.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-2898.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-22-235-05) Measuresoft ScadaPro Server
ICS Advisory (ICSA-22-235-06) Measuresoft ScadaPro Server and Client
Etiquetas