Múltiples vulnerabilidades en productos Hitachi Energy
INCIBE-2023-0002
- UNEM y FOXMAN-UN, versiones:
- R16A,
- R15B,
- R15A,
- R14B,
- R14A,
- R11B,
- R11A,
- R10C,
- R9C.
- Lumada APM, versiones:
- 6.5.0.0;
- desde 6.1.0.0 hasta 6.4.0.0 (afectados solo por CVE-2022-37434).
El fabricante ha reportado 8 vulnerabilidades, 1 de severidad crítica y 7 de altas, cuya explotación podría permitir a un atacante obtener información sensible, acceder a elementos de la red, causar problemas de disponibilidad, ejecutar código arbitrario de forma remota o crear una condición de denegación de servicio.
- UNEM y FOXMAN-UN, versión R16A. Para las vulnerabilidades CVE-2021-40341 y CVE-2021-40342 de momento solo está disponible una solución parcial en las versiones R16A correctoras, a la espera de la corrección completa en futuras publicaciones.
- Lumada APM, versiones 6.5.0.1 o posteriores (6.4.0.1 o posteriores en el caso concreto de CVE-2022-37434).
Una versión de la librería zlib contiene una vulnerabilidad de escritura fuera de los límites, que a su vez se usa en productos de Hitachi Energy. La explotación exitosa de esta vulnerabilidad podría resultar en una condición de denegación de servicio (DoS) o una ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-37434 para esta vulnerabilidad crítica.
Para el resto de vulnerabilidades altas se han asignado los identificadores: CVE-2021-40341, CVE-2021-40342, CVE-2022-3927, CVE-2022-3928, CVE-2022-3929, CVE-2022-3602 y CVE-2022-3786.