Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de lectura de archivos en productos ThinManager de Rockwell Automation

Fecha de publicación 27/07/2023
Identificador

INCIBE-2023-0299

Importancia
4 - Alta
Recursos Afectados

ThinManager ThinServer con versiones 13.0.0 a la versión 13.0.2 y versión 13.1.0.

Descripción

Rockwell Automation ha informado de una vulnerabilidad en sus productos ThinManager ThinServer que podría permitir que un atacante remoto lea archivos arbitrarios almacenados en el sistema afectado.

Solución

Rockwell Automation recomienda actualizar a las versiones 13.0.3 y 13.1.1 o posterior.

Detalle

La vulnerabilidad conocida se produce al habilitar una función API en la configuración del servidor HTTPS. Cuando la API está habilitada existe una vulnerabilidad de cruce de ruta, que podría permitir que un actor remoto aproveche los privilegios del sistema de archivos del servidor, y lea archivos arbitrarios almacenados en él. Se ha asignado el identificador CVE-2023-2913 para esta vulnerabilidad.