Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos InfraSuite de Delta Electronics

Fecha de publicación 22/03/2023
Identificador

INCIBE-2023-0105

Importancia
5 - Crítica
Recursos Afectados
  • InfraSuite Device Master, versiones anteriores a la 1.0.5.
Descripción

Piotr Bazydlo, de Trend Micro, y Anonymous han notificado 13 vulnerabilidades, 3 de ellas de severidad crítica. La explotación exitosa de estas vulnerabilidades podría permitir que un atacante no autenticado obtenga acceso a archivos y credenciales, aumente los privilegios y ejecute código arbitrario de forma remota, entre otras acciones.

Solución

Delta Electronics recomienda a los usuarios que desinstalen las versiones antiguas de InfraSuite Device Master y reinstalen la versión actualizada 1.0.5 usando el instalador.

Detalle

La explotación exitosa de las vulnerabilidades de severidad crítica podría provocar:

  • desserialización de datos no confiables (CVE-2023-1133), 
  • autenticación incorrecta (CVE-2023-1136),
  • falta de autenticación para una función crítica (CVE-2023-1140).

Para las vulnerabilidades de severidad alta se han asignado los siguientes identificadores: CVE-2023-1145, CVE-2023-1138, CVE-2023-1134, CVE-2023-1142, CVE-2023-1135, CVE-2023-1139, CVE-2023-1144, CVE-2023-1143 y CVE-2023-1141.    

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2023-1137.

Encuesta valoración