Vulnerabilidad en Incoming Goods Suite (CVE-2024-11075)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/11/2024
Última modificación:
19/11/2024
Descripción
Una vulnerabilidad en Incoming Goods Suite permite a un usuario con acceso sin privilegios al sistema subyacente (por ejemplo, local o a través de SSH) una escalada de privilegios al nivel administrativo debido al uso de imágenes Docker del proveedor de componentes que se ejecutan con permisos de superusuario. La explotación de esta configuración incorrecta permite que un atacante obtenga control administrativo sobre todo el sistema.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://cdn.sick.com/media/docs/1/11/411/Special_information_CYBERSECURITY_BY_SICK_en_IM0084411.PDF
- https://sick.com/psirt
- https://www.cisa.gov/resources-tools/resources/ics-recommended-practices
- https://www.first.org/cvss/calculator/3.1
- https://www.sick.com/.well-known/csaf/white/2024/sca-2024-0005.json
- https://www.sick.com/.well-known/csaf/white/2024/sca-2024-0005.pdf