Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Hitachi Energy

Fecha de publicación 09/01/2023
Identificador

INCIBE-2023-0002

Importancia
5 - Crítica
Recursos Afectados
  • UNEM y FOXMAN-UN, versiones:
    • R16A,
    • R15B,
    • R15A,
    • R14B,
    • R14A,
    • R11B,
    • R11A,
    • R10C,
    • R9C.
  • Lumada APM, versiones:
    • 6.5.0.0;
    • desde 6.1.0.0 hasta 6.4.0.0 (afectados solo por CVE-2022-37434).
Descripción

El fabricante ha reportado 8 vulnerabilidades, 1 de severidad crítica y 7 de altas, cuya explotación podría permitir a un atacante obtener información sensible, acceder a elementos de la red, causar problemas de disponibilidad, ejecutar código arbitrario de forma remota o crear una condición de denegación de servicio.

Solución
  • UNEM y FOXMAN-UN, versión R16A. Para las vulnerabilidades CVE-2021-40341 y CVE-2021-40342 de momento solo está disponible una solución parcial en las versiones R16A correctoras, a la espera de la corrección completa en futuras publicaciones.
  • Lumada APM, versiones 6.5.0.1 o posteriores (6.4.0.1 o posteriores en el caso concreto de CVE-2022-37434).
Detalle

Una versión de la librería zlib contiene una vulnerabilidad de escritura fuera de los límites, que a su vez se usa en productos de Hitachi Energy. La explotación exitosa de esta vulnerabilidad podría resultar en una condición de denegación de servicio (DoS) o una ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-37434 para esta vulnerabilidad crítica.

Para el resto de vulnerabilidades altas se han asignado los identificadores: CVE-2021-40341, CVE-2021-40342, CVE-2022-3927, CVE-2022-3928, CVE-2022-3929, CVE-2022-3602 y CVE-2022-3786.

Encuesta valoración