Vulnerabilidad de lectura de archivos en productos ThinManager de Rockwell Automation
INCIBE-2023-0299
ThinManager ThinServer con versiones 13.0.0 a la versión 13.0.2 y versión 13.1.0.
Rockwell Automation ha informado de una vulnerabilidad en sus productos ThinManager ThinServer que podría permitir que un atacante remoto lea archivos arbitrarios almacenados en el sistema afectado.
Rockwell Automation recomienda actualizar a las versiones 13.0.3 y 13.1.1 o posterior.
La vulnerabilidad conocida se produce al habilitar una función API en la configuración del servidor HTTPS. Cuando la API está habilitada existe una vulnerabilidad de cruce de ruta, que podría permitir que un actor remoto aproveche los privilegios del sistema de archivos del servidor, y lea archivos arbitrarios almacenados en él. Se ha asignado el identificador CVE-2023-2913 para esta vulnerabilidad.