Dos nuevos avisos de SCI
Múltiples vulnerabilidades en Inductive Automation Ignition
Ignition.
El investigador, 20urdjk, ha notificado 3 vulnerabilidades de severidad alta en el producto Ignition, del fabricante Inductive Automation, cuya explotación podría permitir la ejecución remota de código o la omisión de autenticación.
Descargar la última versión disponible de Ignition.
- Esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el producto afectado, debido a una falta de validación de los datos proporcionados por los usuarios. Se ha asignado el identificador CVE-2023-38121 para esta vulnerabilidad.
- Esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el producto afectado, debido a una falta de cabeceras Content Security Policy adecuadas. Se ha asignado el identificador CVE-2023-38122 para esta vulnerabilidad.
- La explotación de esta vulnerabilidad podría permitir a un atacante omitir el proceso de autenticación en el producto afectado, debido a un fallo en la configuración del servidor. Se ha asignado el identificador CVE-2023-38123 para esta vulnerabilidad.
Inyección de comandos sobre el sistema operativo en Altenergy Power Control Software de APSystems
Altenergy Power Control Software, versión C1.2.5.
Ahmed Alroky y Superzerosec han reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante la ejecucion de código de forma remota.
Por el momento, APSystems no ha proporcionado medidas de mitigación para esta vulnerabilidad. CISA recomienda a los usuarios afectados contactar con APSystems para solicitar información adicional.
La inyección de comandos del sistema operativo afecta al software Altenergy Power Control C1.2.5 a través de metacaracteres de shell en el parámetro timezone de index.php/management/set_timezone, debido a set_timezone en models/management_model.php.