[Actualización 17/02/2023] Múltiples vulnerabilidades en productos de Delta Electronics
Fecha de publicación 26/10/2022
Identificador
INCIBE-2022-0990
Importancia
5 - Crítica
Recursos Afectados
- InfraSuite Device Master versión 00.00.01a y anteriores.
[Actualización 11/11/2022]
- DIAEnergie versiones anteriores a la 1.9.01.002 y a la 1.9.02.001.
[Actualización 12/01/2023]
- InfraSuite Device Master versión anteriores a la 1.0.3 (solo para CVE-2022-41657 y CVE-2022-40202).
[Actualización 17/02/2023]
- Versiones de DIAEnergie anteriores a v1.9.03.001.
Descripción
Kimiya, en colaboración con Trend Micro Zero Day Initiative y Michael Heinzl, han reportado a CISA 18 vulnerabilidades de tipo Cross Site Scripting (XSS) o inyección SQL, entre otras.
Solución
[Actualización 11/11/2022]
- Delta no lanzó públicamente la versión 1.9.01.002 ni la 1.9.02.001 para el producto DIAEnergie. Se recomienda a los usuarios que se comuniquen con los agentes o contactos de venta de primera instancia de Delta para obtener la versión actualizada.
[Actualización 12/01/2023]
- Delta Electronics recomienda a los usuarios que desinstalen las versiones antiguas de InfraSuite Device Master y reinstalen la versión actualizada 1.0.3 mediante el instalador.
Detalle
Las vulnerabilidades de severidad crítica son del tipo:
- Deserialización de datos no confiables: CVE-2022-41778 y CVE-2022-38142.
- Limitación incorrecta de una ruta a un directorio restringido: CVE-2022-41657 y CVE-2022-41772.
- Falta de autenticación para función crítica: CVE-2022-40202 y CVE-2022-41688.
[Actualización 11/11/2022]
- Inyección de código SQL: CVE-2022-43774, CVE-2022-43775, CVE-2022-41775, CVE-2022-43447, CVE-2022-43506, CVE-2022-43457 y CVE-2022-43452.
[Actualización 17/02/2023]
- Autorización inconrecta con acceso a funciones privilegiadas: CVE-2023-0822
El resto de vulnerabilidades y el listado completo de CVE se puede consultar en las referencias de este aviso.
Listado de referencias
Etiquetas
