Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

[Actualización 18/07/2025] Múltiples vulnerabilidades en Johnson Controls Software House C●CURE 9000

Fecha de publicación 10/07/2024
Identificador
INCIBE-2024-0350
Importancia
4 - Alta
Recursos Afectados
  • Software House C●CURE 9000, versión 2.80 y anteriores (para la vulnerabilidad CVE-2024-32759).
  • Software House C●CURE 9000 Site Server, versión 3.00.3 y anteriores (para la vulnerabilidad CVE-2024-32861).
Descripción

Reid Wightman, investigador de Dragos, ha reportado 2 vulnerabilidades de severidad alta al fabricante, cuya explotación podría permitir a un atacante obtener accesos a nivel de administrador u obtener las credenciales de acceso a la aplicación vulnerable.

Solución
  • Actualizar Software House C●CURE 9000 a la versión 2.90 para solucionar la vulnerabilidad CVE-2024-32759.
  • Eliminar los permisos de escritura en la ruta C:\CouchDB\bin dentro de Software House C●CURE 9000 Site Server para los usuarios que no son administradores, mitigando así la vulnerabilidad CVE-2024-32861.
Detalle
  • Bajo ciertas condiciones, el instalador de Software House C●CURE 9000 podría utilizar credenciales débiles. Se ha asignado el identificador CVE-2024-32759 para esta vulnerabilidad.
  • En determinadas circunstancias, Software House C●CURE 9000 Site Server podría proporcionar una protección insuficiente de los directorios que contienen ejecutables. Se ha asignado el identificador CVE-2024-32861 para esta vulnerabilidad.
Listado de referencias
ICSA-24-191-04 - Johnson Controls Software House C●CURE 9000
ICSA-24-191-05 - Johnson Controls Software House C●CURE 9000
Etiquetas