Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Deserialización de datos no confiables en DTN Soft de Delta Electronics
  • Vulnerabilidad de desbordamiento de búfer en Panasonic Control FPWIN Pro7
  • Múltiples vulnerabilidades en MicroSCADA X SYS600 de Hitachi Energy

Deserialización de datos no confiables en DTN Soft de Delta Electronics

Fecha30/08/2024
Importancia4 - Alta
Recursos Afectados

DTN Soft: versión 2.0.1 y anteriores.

Descripción

Kimiya, en colaboración con Trend Micro Zero Day Initiative, ha notificado una vulnerabilidad de severidad alta que podría permitir a un atacante lograr la ejecución remota de código.

Solución

Delta Electronics recomienda que los usuarios actualicen DTN Soft a DTN Soft v2.1.

Detalle

La vulnerabilidad de severidades alta detectada facilitaría a un atacante la ejecución remota de código a través de la deserialización de datos no confiables.

Vulnerabilidad de desbordamiento de búfer en Panasonic Control FPWIN Pro7

Fecha30/08/2024
Importancia4 - Alta
Recursos Afectados

Control FPWIN Pro7, versiones 7.7.2.0 y anteriores.

Descripción

El investigador Michael Heinzl ha reportado una vulnerabilidad de severidad alta que afecta al producto Control FPWIN Pro7 de la empresa Panasonic y que podría provocar una ejecución de código. Después de la coordinación entre investigador y fabricante, este último ha informado al JPCERT/CC.

Solución

Actualizar el software a la última versión, según la información facilitada por el fabricante.

Detalle

Control FPWIN Pro7 es vulnerable a un desbordamiento de búfer de pila, lo que podría provocar la ejecución de código arbitrario en caso de que un usuario abra un archivo malicioso. Se ha asignado el identificador CVE-2024-7013 para esta vulnerabilidad.

Múltiples vulnerabilidades en MicroSCADA X SYS600 de Hitachi Energy

Fecha30/08/2024
Importancia5 - Crítica
Recursos Afectados

MicroSCADA X SYS600, versiones:

  • desde 10.2 hasta 10.5 para la vulnerabilidad CVE-2024-7940;
  • 10.5 y anteriores para el resto de vulnerabilidades.
Descripción

Hitachi Energy ha publicado una nueva actualización de seguridad para MicroSCADA X SYS600, que corrige 5 vulnerabilidades, 2 de ellas críticas, otras 2 altas y la última media. La explotación con éxito de estas vulnerabilidades podría causar impactos en la confidencialidad, integridad y disponibilidad.

Solución
  • Actualizar MicroSCADA X SYS600 a la versión 10.6.
Detalle
  • CVE-2024-4872: esta vulnerabilidad se debe a que el producto no valida ninguna consulta hacia datos persistentes, lo que supone un riesgo de ataques de inyección.
  • CVE-2024-3980: la entrada de datos del usuario no está correctamente controlada, lo que permitiría a un atacante acceder o modificar archivos del sistema u otros archivos críticos.

Los detalles del resto de vulnerabilidades no críticas pueden encontrarse en las referencias.