Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de SCI y una actualización

[Actualización 08/03/2024] Ruta o elemento de búsqueda sin comillas en productos de Wiesemann & Theis GmbH

Fecha28/02/2024
Importancia4 - Alta
Recursos Afectados
  • Legado del redirector de comunicaciones, versión 4,42 y anteriores;
  • Redirector de comunicación PnP, versión 3,93 y anteriores;
  • Servidor OPC, versión 4,88 y anteriores.
Descripción

CERT@VDE, en coordinación con Wiesemann & Theis, ha publicado una vulnerabilidad de severidad alta, que de ser explotada por un atacante local, podría obtener privilegios administrativos insertando un archivo ejecutable en la ruta del producto afectado.

Solución

Actualizar a las siguientes versiones:

Detalle

La vulnerabilidad de severidad alta se produce a través de una ruta de búsqueda sin comillas en el registro de Windows. Un atacante local puede ejecutar código arbitrario y obtener privilegios administrativos insertando un archivo ejecutable en la ruta del producto afectado.

Se ha asignado el identificador CVE-2024-25552 para esta vulnerabilidad.

Uso de credenciales codificadas en Chirp Access de Chirp Systems

Fecha08/03/2024
Importancia5 - Crítica
Recursos Afectados

Todas las versiones de Chirp Access.

Descripción

Matt Brown ha informado de una vulnerabilidad de severidad crítica que podría permitir a un atacante tomar el control y obtener acceso físico sin restricciones a los sistemas que utilizan el producto afectado.

Solución

Por el momento, no existe solución. Se recomienda a los usuarios que se comuniquen con el soporte de Chirp Systems para obtener información adicional.

Detalle

La vulnerabilidad almacena incorrectamente las credenciales dentro de su código fuente, lo que potencialmente expone información confidencial a acceso no autorizado.

Se ha asignado el identificador CVE-2024-2197 para esta vulnerabilidad.