botón arriba

Tres nuevos avisos de SCI

Modificación de privilegios de acceso en AO-OPC de ABB

Fecha31/07/2023
Importancia4 - Alta
Recursos Afectados

AO-OPC, versiones hasta la 3.2.1.0 incluida.

Descripción

Se ha identificado una vulnerabilidad de severidad alta en el producto AO-OPC del fabricante ABB, cuya explotación podría permitir a un atacante ejecutar código arbitrario.

Solución

Actualizar AO-OPC a la versión 3.3.0.

Detalle

Un atacante podría insertar y ejecutar código arbitrario en un nodo del sistema afectado y provocar un cambio en los privilegios del usuario debido a la falta de comillas en la entrada de registro de la ruta de servicio. Se ha asignado el identificador CVE-2023-2685 para esta vulnerabilidad.


Exposición del recurso a la esfera de control incorrecta en productos de CODESYS

Fecha31/07/2023
Importancia4 - Alta
Recursos Afectados
  • CODESYS Development System, versiones entre la 3.5.9.0 y la 3.5.17.0.
  • CODESYS Scripting, versiones entre la 4.0.0.0 y la 4.1.0.0.
Descripción

Sina Kheirkhah, de Summoning Team, en colaboración con Trend Micro Zero Day Initiative y coordinado por CERT@VDE, han publicado una vulnerabilidad de severidad alta que podría permitir a un atacante colocar secuencias de comandos potencialmente dañinas y encubiertas.

Solución
  • Actualice CODESYS Development System a la versión 3.5.17.0 o posterior.
  • Actualice CODESYS Scripting a la versión 4.1.0.0 o posterior.
Detalle

La vulnerabilidad de severidad alta detectada es debida a los permisos de directorios inseguros que podrían permitir a un atacante con acceso local a la estación de trabajo, colocar secuencias de comandos potencialmente dañinas y encubiertas que podrían ser ejecutadas por usuarios legítimos. 

Se ha asignado el identificador CVE-2023-3670 para esta vulnerabilidad.


Vulnerabilidad de inyección SQL en Advantech iView

Fecha31/07/2023
Importancia4 - Alta
Recursos Afectados

Advantech iView, versiones inferiores a 5.7.4 build 6752.

Descripción

Se ha reportado una vulnerabilidad de severidad alta que afecta a Advantech iView.

Solución

Advantech ha solucionado la vulnerabilidad en iView v5.7.4 build 6752.

Detalle

La vulnerabilidad de inyección SQL reportada, podría permitir a un atacante remoto autenticado saltarse las comprobaciones necesarias para realizar una inyección SQL ciega. La explotación de esta vulnerabilidad podría permitir al atacante recuperar la contraseña de administrador de iView, entre otros.

Se ha asignado el identificador CVE-2023-3983 para esta vulnerabilidad.