Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Múltiples vulnerabilidades en productos de Honeywell

Fecha21/12/2023
Importancia4 - Alta
Recursos Afectados
  • Saia PG5 Controls Suite.
Descripción

Kimiya ha reportado dos vulnerabilidades 0day a ZDI de severidad alta que podrían permitir ejecución remota de código arbitrario en instalaciones afectadas.

Solución

Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación destacada es restringir la interacción con la aplicación.

Detalle

Las vulnerabilidades afectan a la falta de validación adecuada, en archivos ZIP y CAB, de una ruta proporcionada por el usuario antes de usarla en operaciones de archivos. Un atacante puede aprovechar estas vulnerabilidades para ejecutar código en el contexto del usuario actual.

Se han asignado los identificadores CVE-2023-51599 y CVE-2023-51603 para estas vulnerabilidades.

Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha21/12/2023
Importancia4 - Alta
Recursos Afectados
  • GT SoftGOT2000, versiones de la 1.275M a la 1.290C;
  • OPC UA data collector, versiones 1.04E y anteriores;
  • MX OPC Server UA (software empaquetado con MC Works64), versión 3.05F y posteriores (empaquetado con MC Works64 Version 4.03D y porteriores);
  • OPC UA server unit, todas las versiones;
  • FX5-OPC, versiones 1.006 y anteriores.
Descripción

Mitsubishi Electric ha reportado dos vulnerabilidades de severidad alta y una de severidad media, cuya explotación podría permitir a un atacante realizar una divulgación de información o provocar una condición de denegación de servicio (DoS).

Solución

Mitsubishi Electric recomienda que los clientes tomen las siguientes medidas de mitigación para minimizar el riesgo de explotar las vulnerabilidades reportadas:

  • GT SoftGOT2000: actualizar el producto a la versión 1.295H o posterior.
  • OPC UA data collector: actualizar el producto a la versión 1.05F o posterior
  • MX OPC Server UA: llevar a cabo las medidas paliativas incluidas en el apartado "Mitigations" del artículo incluido en las referencias.
  • OPC UA server unit: llevar a cabo las medidas paliativas incluidas en el apartado "Mitigations" del artículo incluido en las referencias.
  • FX5-OPC: actualizar el producto a la versión 1.010F o posterior.
Detalle
  • Vulnerabilidad de denegación de servicio (DoS) debida a un Double Free (CWE-4153) al leer un archivo PEM. Se ha asignado el identificador CVE-2022-4450 para esta vulnerabilidad.
  • Se ha detectado una vulnerabilidad de divulgación de información y denegación de servicio (DoS) debida al acceso a un recurso utilizando un tipo incompatible, relacionada con el procesamiento de direcciones X.400 dentro de un GeneralName X.509. Se ha asignado el identificador CVE-2023-0286 para esta vulnerabilidad.
  • Vulnerabilidad de divulgación de información debido a la discrepancia de tiempo observable en implementaciones de descifrado RSA. Se ha asignado el identificador CVE-2022-4304 para esta vulnerabilidad.