Dos nuevos avisos de SCI
Múltiples vulnerabilidades en M-Bus SoftwarePack 900S de PiiGAB
M-Bus SoftwarePack 900S.
Floris Hendriks y Jeroen Wijenbergh, de la Universidad de Radboud, han reportado 9 vulnerabilidades que afectan a PiiGAB M-Bus: 1 de severidad crítica, 6 altas y 2 medias. La explotación de estas vulnerabilidades podría permitir a un atacante inyectar comandos arbitrarios, robar contraseñas o engañar a usuarios válidos para que ejecuten comandos maliciosos.
PiiGAB ha publicado una nueva versión de software actualizado para solucionar estos problemas y recomienda a los usuarios a instalar la nueva actualización en su propio gateway.
Los nuevos paquetes de software pueden descargarse directamente desde la interfaz de usuario web del gateway y los gateways más antiguos desde Piigab.se o Piigab.com.
La vulnerabilidad crítica consiste en el uso de credenciales embebidas en texto claro empleadas para el proceso de autenticación. Se ha asignado el identificador CVE-2023-35987 para esta vulnerabilidad.
Para el resto de vulnerabilidades altas y medias se han asignado los identificadores CVE-2023-36859, CVE-2023-33868, CVE-2023-31277, CVE-2023-35765, CVE-2023-32652, CVE-2023-34995 y CVE-2023-34433.
Inyección de código en cámaras de seguridad de ABUS
ABUSTVIP: 20000-21150
El Chaos Computer Club (CCC) informó de una vulnerabilidad de severidad alta que podría permitir la lectura arbitraria de archivos o la ejecución remota de código.
En 2019 ABUS llevó a cabo una campaña de sustitución para animar a los usuarios a sustituir los dispositivos afectados por modelos más nuevos, como TVIP82561.
Los dispositivos ABUS TVIP 20000-21150 permiten a atacantes remotos ejecutar código arbitrario a través de metacaracteres de shell en el campo /cgi-bin/mft/wireless_mft ap. Se ha asignado el identificador CVE-2023-26609 para esta vulnerabilidad.