Tres nuevos avisos de SCI
Índice
- XSS almacenado en NPort 5100A de Moxa
- Múltiples vulnerabilidades en DIAEnergie de Delta Electronics
- Múltiples vulnerabilidades en Socomec Net Vision
XSS almacenado en NPort 5100A de Moxa
Serie NPort 5100A: versión de firmware v1.6 y anteriores.
Moxa ha publicado una vulnerabilidad de severidad alta que de ser explotada podría obtenerse información confidencial y escalar privilegios.
Moxa ha desarrollado soluciones apropiadas para abordar la vulnerabilidad y recomienda ponerse en contacto para obtener el parche.
La vulnerabilidad de severidad alta provoca una neutralización inadecuada de la entrada durante la generación de la página web. Un atacante podría utilizar esta vulnerabilidad para obtener información confidencial y escalar privilegios.
Se ha asignado el identificador CVE-2024-3576 para esta vulnerabilidad.
Múltiples vulnerabilidades en DIAEnergie de Delta Electronics
Delta Electronics DIAEnergie CEBC.exe, v1.10.1.8610 y anteriores.
Tenable ha publicado 3 vulnerabilidades: 2 de severidad crítica y 1 alta, que podrían derivar en una ejecución remota SQLi a través de uno de sus campos.
Actualizar DIAEnergie v1.10.01.004 o posterior.
Las vulnerabilidades de severidad crítica se producen al procesar un mensaje 'RecalculateScript' o 'RecalculateHDMWYC', que se divide en 4 campos utilizando el carácter '~' como separador. Un atacante remoto no autenticado puede ejecutar SQLi a través del cuarto campo. Se han asignado los identificadores CVE-2024-4547 y CVE-2024-4548 para estas vulnerabilidades.
Se ha asignado el identificador CVE-2024-4549 para la vulnerabilidad de severidad alta.
Múltiples vulnerabilidades en Socomec Net Vision
Net vision, versión 7.20.
INCIBE ha coordinado la publicación de 2 vulnerabilidades, una de severidad alta y otra de severidad media, que afectan a Socomec Net Vision, versión 7.20, un adaptador de red profesional para supervisar y controlar unidades SAI desde una ubicación remota, las cuales han sido descubiertas por José Daniel Martínez Coronel.
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-4600: 7.1 | CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N | CWE-352
- CVE-2024-4601: 6.7 | CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N | CWE-287
Vulnerabilidades solucionadas en la última versión del producto afectado.
- CVE-2024-4600: vulnerabilidad de Cross-Site Request Forgery en Socomec Net Vision, versión 7.20. Esta vulnerabilidad podría permitir a un atacante engañar a los usuarios registrados para que realicen acciones críticas, como agregar y actualizar cuentas, debido a la falta de un saneamiento adecuado del archivo 'set_param.cgi'.
- CVE-2024-4601: se ha encontrado una vulnerabilidad de autenticación incorrecta en Socomec Net Vision que afecta a la versión 7.20. Esta vulnerabilidad permite a un atacante realizar un ataque de fuerza bruta en la aplicación y recuperar una sesión válida, debido a que la aplicación utiliza un valor entero de cinco dígitos.