Dos nuevos avisos de SCI
Credenciales en texto claro en Enphase Installer Toolkit
Installer Toolkit, versión 3.27.0 y anteriores.
OBSWCY3F ha notificado una vulnerabilidad de severidad alta que afecta a Installer Toolkit de Enphase, y cuya explotación podría permitir a un atacante acceder a información sensible.
Enphase no ha publicado actualización para corregir esta vulnerabilidad, se recomienda a los usuarios contactar con el soporte del fabricante para obtener información adicional.
El producto afectado contiene credenciales embebidas sin cifrar en código binario en su aplicación para Android. Se ha asignado el identificador CVE-2023-32274 para esta vulnerabilidad.
Escalada de privilegios en Autodesk Installer
Autodesk Installer, versiones 1.29.0.90 o superiores, incluidas con las instalaciones de productos 2023 y 2024.
Filip Dragovic, en colaboración con ZDI, de Trend Micro, ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante escalar privilegios en el producto afectado.
Actualizar a la versión 1.39.0.216.
Un archivo DLL malicioso podría utilizarse para escribir fuera de los límites asignados en Autodesk Installer cuando se analizan los archivos DLL, provocando una vulnerabilidad de escalada de privilegios. Se ha asignado el identificador CVE-2023-27908 para esta vulnerabilidad.