Omisión de autenticación en Open Automation Software
INCIBE-2023-0372
Plataforma Open Automation Software, versión 18.00.0072.
Talos ha notificado tres vulnerabilidades severidad alta que podrían provocar una autenticación arbitraria.
Establecer un usuario administrador de OAS y que la configuración se guarde inmediatamente después de la instalación de OAS Engine. Además, el acceso al servidor de configuración de OAS Engine y su tráfico debe restringirse exclusivamente a aquellos hosts autorizados para la configuración.
Las vulnerabilidades detectadas podrían provocar que una serie de solicitudes de red especialmente diseñadas realicen una autenticación arbitraria. Un atacante podría enviar una secuencia de solicitudes o rastrear el tráfico para desencadenar estas vulnerabilidades.
Se han asignado los identificadores CVE-2023-34353, CVE-2023-34998 y CVE-2023-31242 para estas vulnerabilidades.