Vulnerabilidad en Delta Automatización Industrial DIALink
INCIBE-2022-1001
DIALink, versiones anteriores a 1.5.0.0 Beta 4.
La explotación de esta vulnerabilidad podría permitir que un atacante inserte código malicioso en el dispositivo de destino.
Delta Industrial Automation ha creado v1.5.0.0 Beta 4 para abordar esta vulnerabilidad. Delta Industrial Automation no hará de esta actualización un lanzamiento oficial. Los usuarios pueden obtener esta versión actualizada a través de Delta Field Application Engineering (FAE) o comunicándose directamente con la empresa.
El software utiliza una entrada externa para construir un nombre de ruta destinado a identificar un archivo o directorio ubicado debajo de un directorio principal restringido. Sin embargo, no neutraliza correctamente los caracteres especiales dentro del nombre de la ruta, lo que podría permitir el acceso a una ubicación fuera del directorio restringido. Se ha asignado el identificador CVE-2022-2969 a esta vulnerabilidad.