Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la funcionalidad play en LCDS LAquis SCADA (CVE-2021-41579)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
04/10/2021
Última modificación:
12/10/2021

Descripción

LCDS LAquis SCADA versiones hasta 4.3.1.1085, es vulnerable a una omisión de control y salto de ruta. Si un atacante puede conseguir que una víctima cargue un archivo de proyecto els malicioso y use la funcionalidad play, entonces el atacante puede omitir una ventana emergente de consentimiento y escribir archivos arbitrarios en ubicaciones del Sistema Operativo donde el usuario tenga permiso, conllevando a una ejecución de código

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:laquisscada:scada:*:*:*:*:*:*:*:* 4.3.1.1085 (incluyendo)


Referencias a soluciones, herramientas e información