Un nuevo aviso de SCI
Múltiples vulnerabilidades en productos MB Connect Line
Versión 2.13.3 y anteriores de los productos:
- mbCONNECT24,
- mymbCONNECT24.
La empresa Helmholz y el investigador Hussein Alsharafi han reportado 2 vulnerabilidades, 1 de severidad media y 1 alta, respectivamente, que afectan a productos de MB Connect Line. A su vez, CERT@VDE se ha coordinado con MB Connect Line y Helmholz para la publicación de las mismas.
Actualizar los productos afectados a la versión 2.13.4.
La vulnerabilidad de severidad alta podría permitir a un usuario remoto autenticado, con bajo nivel de privilegios, cambiar la contraseña de cualquier otro usuario de la misma cuenta, permitiendo escalar privilegios a nivel de administrador y, por tanto, comprometer totalmente la cuenta. Se ha asignado el identificador CVE-2023-0985 para esta vulnerabilidad.
La vulnerabilidad de severidad media tiene asignado el identificador CVE-2023-1779.
Consumo no controlado de recursos en OPC UA de OPC Foundation
OPC UA Legacy Java Stack, versiones anteriores al commit 6f176f2b445a27c157f1a32f225accc9ce8873c0.
El equipo de investigación de Claroty "Team82", en colaboración con Trend Micro Zero Day Initiative, han reportado una vulnerabilidad de severidad alta, que podría permitir a un atacante bloquear aplicaciones de servidor OPC UA.
Aplicar el commit 6f176f2b445a27c157f1a32f225accc9ce8873c0.
La vulnerabilidad reportada en OPC UA Legacy Java Stack podría permitir a un atacante, no autorizado, bloquear aplicaciones de servidor OPC UA, de modo que ya no puedan servir aplicaciones de cliente. Se ha asignado el identificador CVE-2023-32787 para esta vulnerabilidad.
Múltiples vulnerabilidades en myREX24 y myREX24.virtual de Helmholz
Versiones 2.13.3 y anteriores de los productos:
- myREX24,
- myREX24.virtual.
La empresa Helmholz y el investigador Hussein Alsharafi han reportado 2 vulnerabilidades, 1 de severidad media y 1 alta, que afectan a productos de Helmholz GmbH & Co. KG. A su vez, CERT@VDE se ha coordinado con MB Connect Line y Helmholz para la publicación de las mismas.
Actualizar los productos afectados a la versión 2.13.4.
La vulnerabilidad de severidad alta podría permitir a un atacante remoto autenticado, con bajo nivel de privilegios, cambiar la contraseña de cualquier usuario de la misma cuenta, permitiendo escalar privilegios a nivel de administrador y, por tanto, comprometer totalmente la cuenta. Se ha asignado el identificador CVE-2023-0985 para esta vulnerabilidad.
La vulnerabilidad de severidad media podría permitir a un atacante remoto autorizado, con bajo nivel de privilegios, ver una cantidad limitada de la información de contacto de otra cuenta. Se ha asignado el identificador CVE-2023-1779 para esta vulnerabilidad.
Inyección de comandos sobre el sistema operativo en múltiples productos de WAGO
Versiones firmware comprendidas entre la versión 20 y 22 (incluida) y versión firmware 23 de los siguientes productos:
- Compact Controller CC100,
- PFC100,
- PFC200.
Versión firmware 22 de los productos:
- Edge Controller,
- Touch Panel 600 Advanced Line,
- Touch Panel 600 Marine Line,
- Touch Panel 600 Standard Line.
Quentin Kaiser de ONEKEY ha reportado, en colaboración con CERT@VDE, una vulnerabilidad de severidad crítica. La explotación de esta vulnerabilidad podría permitir a un atacante provocar comportamientos no deseados en los dispositivos afectados, así como causar condiciones de denegación de servicio o un compromiso total del sistema.
WAGO recomienda actualizar los dispositivos afectados a la versión correspondiente. Para información específica sobre cada versión, consultar el aviso de CERT@VDE incluido en las referencias.
Se ha detectado una vulnerabilidad crítica que podría permitir a un atacante remoto no autenticado crear nuevos usuarios y cambiar la configuración de los dispositivos afectados. La explotación de esta vulnerabilidad podría resultar en un comportamiento no deseado, denegación de servicio y compromiso total del sistema. Se ha asignado el identificador CVE-2023-1698 para esta vulnerabilidad.