Múltiples vulnerabilidades en productos Hitachi Energy
- Service Suite: versiones anteriores a 9.6.0.4 EP4;
- Asset Suite: versiones 9.6.4.5 y anteriores.
Hitachi Energy PSIRT ha informado sobre 7 vulnerabilidades: 1 de severidad crítica, 5 de altas y 1 media. En caso de ser explotadas podrían permitir a los atacantes comprometer Oracle WebLogic Server, lo que resultaría en posibles impactos en la confidencialidad, integridad y disponibilidad, activar el consumo de recursos o la divulgación de información a través de SSRF en Apache XML Graphics Batik, montar un ataque de denegación de servicio a través de datos envenenados en el registro, descubrir contraseñas de texto claro en H2 Database Engine, llenar el sistema de archivos en Apache CXF, realizar ataques de redireccionamiento abierto o SSRF a través de UriComponentsBuilder y ejecutar código arbitrario en Apache ActiveMQ.
- Para versiones de Service Suite anteriores a 9.6.0.4 EP4: actualizar a la versión 9.8.2 o más reciente: Hitachi Energy recomienda que los clientes apliquen la actualización lo antes posible.
- Para versiones de Service Suite anteriores a 9.6.0.4 EP4: aplicar factores de mitigación generales.
- Para versiones 9.6.4.5 y anteriores de Asset Suite: aplicar factores de mitigación generales.
- Para versiones de Asset Suite 9.6.4.5 y anteriores: actualizar a la versión 9.7 (CVE-2022-44729, CVE-2023-6378, CVE-2022-45868, CVE-2025-23184, CVE-2024-22262).
- Para versiones de Asset Suite 9.6.4.5 y anteriores: actualizar a la versión 9.8 cuando esté disponible (CVE-2022-41678).
- CVE-2020-2883: vulnerabilidad de severidad crítica fácilmente explotable, podría permitir a un atacante no autenticado, con acceso a la red a través de IIOP, T3, comprometer Oracle WebLogic Server. Los ataques exitosos a esta vulnerabilidad pueden resultar en la toma de control de Oracle WebLogic Server.
- CVE-2023-6378: vulnerabilidad de severidad alta de serialización en el componente receptor de logback de la versión 1.4.11 de logback, cuya explotación podría permitir a un atacante ejecutar un ataque de denegación de servicio mediante el envío de datos maliciosos.
- CVE-2022-45868: vulnerabilidad de severidad alta. La consola de administración web de H2 Database Engine se puede iniciar mediante la CLI con el argumento '-webAdminPassword', que permite al usuario especificar la contraseña en texto plano para la consola de administración web. Por lo tanto, un usuario local podría descubrir la contraseña al listar los procesos y sus argumentos.
- CVE-2025-23184: vulnerabilidad de severidad alta de denegación de servicio en versiones de Apache CXF. En algunos casos extremos, las instancias de CachedOutputStream podrían no cerrarse y, si están respaldadas por archivos temporales, podrían saturar el sistema de archivos (esto aplica tanto a servidores como a clientes).
- CVE-2024-22262: vulnerabilidad de severidad alta. Las aplicaciones que utilizan UriComponentsBuilder para analizar una URL proporcionada externamente y realizan verificaciones de validación en el host de la URL analizada pueden ser vulnerables a un ataque de redireccionamiento abierto o a un ataque SSRF si la URL se utiliza después de pasar las verificaciones de validación.
- CVE-2022-41678: vulnerabilidad de severidad alta. En Apache ActiveMQ, una vez que un usuario se autentica en Jolokia, puede activar la ejecución de código arbitrario. Esto podría generar ejecución de código arbitrario mediante varios 'mbeans'.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-44729.
