Tres nuevos avisos de SCI
Fallo de autenticación en Sensormatic Electronics iSTAR
- iSTAR Ultra e iSTAR Ultra LT, versiones de firmware posteriores a 6.8.6 y anteriores a 6.9.2 CU01;
- iSTAR Ultra G2 e iSTAR Edge G2, versiones de firmware anteriores a 6.9.2 CU01.
El fabricante Johnson Controls, que engloba a su subsidiaria Sensormatic Electronics, ha reportado al CISA una vulnerabilidad de severidad alta en dispositivos iSTAR.
Actualizar el firmware de los productos afectados a la versión 6.9.2 CUO1.
La explotación de esta vulnerabilidad podría permitir a un usuario no autenticado iniciar sesión en dispositivos iSTAR con privilegios administrativos. Se ha asignado el identificador CVE-2023-3127 para esta vulnerabilidad.
Falsificación de solicitud entre sitios en Enhanced HIM de Rockwell Automation
Enhanced HIM: Version 1.001.
Rockwell Automation ha informado de una vulnerabilidad de severidad crítica que podría dar lugar a la divulgación de información confidencial y al acceso remoto completo a los productos afectados.
Se recomienda a los usuarios que actualicen a la versión 1.002.
La vulnerabilidad de severidad crítica detectada podría provocar que un atacante, a través de técnicas de ingeniaría social, convenza a la víctima para pulsar en un enlace fraudulento o realizar con éxito un Cross Site Scripting (XSS) provocando así una divulgación de información o acceso remoto al dispositivo.
Se ha asignado el identificador CVE-2023-2746 para esta vulnerabilidad.
Múltiples vulnerabilidades en Control FPWIN de Panasonic
Control FPWIN: versiones 7.6.0.3 y anteriores.
Michael Heinzl ha reportado a Panasonic tres vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante obtener información sensible o ejecutar código en la instalación afectada de forma remota.
Panasonic ha lanzado la versión Pro7 7.7.0.0 de software, la cual da solución a las vulnerabilidades reportadas.
- Vulnerabilidad de condición de desbordamiento de búfer basada en pila en Panasonic Control FPWIN. Se ha asignado el identificador CVE-2023-28728 para esta vulnerabilidad.
- Panasonic Control FPWIN asigna o inicializa un recurso como un puntero, objeto o variable utilizando un tipo, pero más tarde accede a ese recurso utilizando un tipo que es incompatible con el tipo original. Se ha asignado el identificador CVE-2023-28729 para esta vulnerabilidad.
- Panasonic Control FPWIN realiza operaciones en un búfer de memoria, pero puede leer o escribir en una posición de memoria que esté fuera de los límites del búfer. Se ha asignado el identificador CVE-2023-28730 para esta vulnerabilidad.