Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Múltiples vulnerabilidades en productos Welotec

Fecha10/04/2024
Importancia5 - Crítica
Recursos Afectados

Versiones de firmware anteriores a 2.3.0.r5542 de los productos:

  • TK515L,
  • TK515L Set,
  • TK515L-W,
  • TK515L-W Set,
  • TK525L,
  • TK525L Set,
  • TK525L-W,
  • TK525L-W Set,
  • TK525U,
  • TK525U Set,
  • TK525W,
  • TK525W Set,
  • TK535L1,
  • TK535L1 Set.
Descripción

El BSI, en coordinación con el CERT@VDE, ha reportado 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan a varios productos tipo router de la serie TK500v1. La explotación de las vulnerabilidades podría permitir a un atacante manipular los dispositivos afectados.

Solución

Actualizar el firmware a la versión r5542 o posteriores.

Detalle
  • Un atacante remoto, no autenticado, que conozca el nombre de un tema MQTT podría enviar y recibir mensajes, incluidos comandos de configuración GET/SET, comandos de reinicio y actualizaciones de firmware. Se ha asignado el identificador CVE-2023-1083 para esta vulnerabilidad crítica.
  • Un atacante remoto, con bajo nivel de privilegios, podría realizar una inyección de comandos para obtener acceso a nivel de root. Se ha asignado el identificador CVE-2023-1082 para esta vulnerabilidad alta.

Dependencia de un componente poco fiable en productos SUBNET Solutions

Fecha10/04/2024
Importancia4 - Alta
Recursos Afectados
  • Servidor PowerSYSTEM: versión 4.07.00 y anteriores;
  • Substation Server 2021: versión 4.07.00 y anteriores.
Descripción

SUBNET Solutions ha informado de una vulnerabilidad de severidad alta que podría permitir la escalada de privilegios, la denegación de servicio o la ejecución de código arbitrario.

Solución

Subnet Solutions ha solucionado estos problemas identificados, reemplazando librerías obsoletas utilizadas en versiones anteriores de PowerSYSTEM Server y Substation Server 2021. Se recomienda a los usuarios que actualicen a la versión 4.09.00.927 o más reciente.

Detalle

La vulnerabilidad de severidad alta detectada es de tipo dependencia de un componente poco fiable y podría permitir la escalada de privilegios, la denegación de servicio o la ejecución de código arbitrario. Se ha asignado el identificador CVE-2024-3313 para esta vulnerabilidad.