Múltiples vulnerabilidades en productos InfraSuite de Delta Electronics
INCIBE-2023-0105
- InfraSuite Device Master, versiones anteriores a la 1.0.5.
Piotr Bazydlo, de Trend Micro, y Anonymous han notificado 13 vulnerabilidades, 3 de ellas de severidad crítica. La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado obtenga acceso a archivos y credenciales, aumente los privilegios y ejecute código arbitrario de forma remota, entre otras acciones.
Delta Electronics recomienda a los usuarios que desinstalen las versiones antiguas de InfraSuite Device Master y reinstalen la versión actualizada 1.0.5 usando el instalador.
La explotación exitosa de las vulnerabilidades de severidad crítica podría provocar:
- desserialización de datos no confiables (CVE-2023-1133),
- autenticación incorrecta (CVE-2023-1136),
- falta de autenticación para una función crítica (CVE-2023-1140).
Para las vulnerabilidades de severidad alta se han asignado los siguientes identificadores: CVE-2023-1145, CVE-2023-1138, CVE-2023-1134, CVE-2023-1142, CVE-2023-1135, CVE-2023-1139, CVE-2023-1144, CVE-2023-1143 y CVE-2023-1141.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2023-1137.