Dos nuevos avisos de SCI y una actualización
Índice
- Omisión de autenticación en Ethernet Switches de Moxa
- Desbordamiento de búfer en Alpha5 SMART de Fuji Electric
- [Actualización 17/01/2025] Múltiples vulnerabilidades en DRASimuCAD de Delta Electronics
Omisión de autenticación en Ethernet Switches de Moxa
A continuación, se mencionan los productos afectados y se recomienda acudir al aviso oficial enlazado en referencias para conocer en detalle todas las series y versiones afectadas:
- Serie EDS
- Serie ICS
- Serie IKS
- Serie SDS
- Serie SDS
- Serie TN
Lars Haulin ha informado sobre una vulnerabilidad de severidad alta que afecta a Ethernet Switches y que, de ser explotada, podría provocar un acceso no autorizado y comprometer el sistema.
Moxa recomienda a sus usuarios ponerse en contacto con su servicio de soporte técnico para obtener el parche que soluciona la vulnerabilidad.
La vulnerabilidad de severidad alta detectada permite omitir la autenticación en una función crítica. El producto afectado carece de una comprobación de autenticación al enviar comandos al servidor a través del servicio Moxa. Esta vulnerabilidad permite a un atacante ejecutar comandos específicos, lo que puede provocar la descarga o carga no autorizada de archivos de configuración y comprometer el sistema.
Se ha asignado el identificador CVE-2024-9137 para esta vulnerabilidad.
Desbordamiento de búfer en Alpha5 SMART de Fuji Electric
Alpha5 SMART: versiones 4.5 y anteriores.
Se ha reportado una vulnerabilidad de severidad alta que afecta a Alpha5 SMART, cuya explotación exitosa podría permitir a un atacante ejecutar código arbitrario.
Fuji Electric ha indicado que las vulnerabilidades no se solucionarán en Alpha5 SMART. Recomienda a los usuarios que actualicen sus sistemas a Alpha7.
El producto afectado es vulnerable a un desbordamiento de búfer basado en pila, lo que puede permitir que un atacante ejecute código arbitrario.
Se ha asignado el identificador CVE-2024-34579 para esta vulnerabilidad.
[Actualización 17/01/2025] Múltiples vulnerabilidades en DRASimuCAD de Delta Electronics
DRASimuCAD, versión 1.02.
rgod en colaboración con Trend Micro Zero Day Initiative ha reportado 3 vulnerabilidades de criticidad alta a CISA que afectan al producto DRASimuCAD de Delta Electronics y que de ser explotadas podrían permitir la ejecución de código de forma remota o el bloqueo del dispositivo.
[Actualización 17/01/2025]
- Delta ha publicado un parche para solucionar estas vulnerabilidades en Delta Download Center. Este parche se basa en la versión para DRASimuCAD v1.02.00.00. Los usuarios deben tener instalada la versión original v1.02.00.00 y, a continuación, instalar este nuevo parche.
Las vulnerabilidades, todas de criticidad alta, consisten en:
- Al abrir un fichero el programa espera un determinado tipo de datos, pero acepta tipos erróneos de datos de ficheros manipulados de forma específica. Se han asignado los identificadores CVE-2024-12834 y CVE-2024-12836 para estas vulnerabilidades.
- Al abrir un fichero manipulado de forma específica el programa puede ser forzado a escribir datos fuera del búfer previsto. Se ha asignado el identificador CVE-2024-12835 para esta vulnerabilidad.