Dos nuevos avisos de SCI
Path Traversal en CAREL Boss-Mini
- Boss-Mini: versión 1.4.0 (Build 6221).
Werley Ferreira, Anderson Cezar y João Luz han notificado una vulnerabilidad de severidad crítica que podría permitir a un atacante manipular una ruta de argumento, lo que conduciría a la divulgación de información.
- Actualizar Boss-Mini a las versiones 1.6.0 o superiores.
- CVE-2023-3643: en algunas situaciones, un atacante ya presente en el mismo segmento de red que el producto podría usar técnicas de inclusión de archivos locales para acceder a archivos del sistema sin autorización, lo que expondría información confidencial.
Múltiples vulnerabilidades en L210-F2G Lynx de Westermo
L210-F2G Lynx: versión 4.21.0.
Aviv Malka y Joseph Baum, de OTORIO, han informado de 3 vulnerabilidades: 2 de severidad alta y 1 media que podría bloquear el dispositivo al que se accede o permitir la ejecución remota de código.
Westermo aconseja a los usuarios que deshabiliten el acceso HTTP a la WebGUI y que utilicen HTTPS. Este cambio protegerá las credenciales y los ID de sesión, anulando los exploits.
La vulnerabilidad CVE-2024-35246 puede provocar una condición de denegación de servicio enviando muchos paquetes repetidamente, mientras que la vulnerabilidad CVE-2024-32943 puede provocar una condición de denegación de servicio enviando muchos paquetes SSH repetidamente.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2024-37183.