Tres nuevos avisos de SCI
Índice
- Múltiples vulnerabilidades en productos y servicios de Hitachi Energy
- Múltiples vulnerabilidades en productos de Dario Health
- Escritura fuera de los límites en módulos de comunicación Modicon de Schneider Electric
Múltiples vulnerabilidades en productos y servicios de Hitachi Energy
De los siguientes productos, las versiones indicadas a continuación
- Hitachi Energy Service Suite Product:
- Service Suite, versiones 9.8.1.3 y anteriores.
- Hitachi Energy MACH GWS:
- GWS versiones desde 3.0.0.0 hasta 3.3.0.0;
- GWS versión 2.1.0.0;
- GWS versiones desde 2.2.0.0 hasta 2.4.0.0.
Hitachi ha publicado varios avisos de seguridad con 6 vulnerabilidades de severidad crítica, relacionados con sus productos y servicios de Hitachi Energy y que podrían permitir a un atacante, entre otras acciones, inyectar código a través de datos persistentes, modificar ficheros críticos para la aplicación o evadir la autenticación basada en IP en el servidor/aplicación de origen.
Para cada producto, realizar las siguientes acciones:
- Hitachi Energy Service Suite Product:
- Actualizar a la versión 9.8.1.4.
- Hitachi Energy MACH GWS:
- GWS versiones desde 3.0.0.0 hasta 3.3.0.0 - actualizar a la versión 3.4.0.0.
- GWS versión 2.1.0.0 - instalar los parches HF1 hasta HF6 secuencialmente.
- GWS versiones desde 2.2.0.0 hasta 2.4.0.0 - instalar los parches HF3 a HF6 secuencialmente.
Las vulnerabilidades de severidad crítica para cada producto/servicio son:
- Hitachi Energy Service Suite Product, todas las vulnerabilidades están relacionadas con el componente Apache HTTP Server de Apache Tomcat, por lo general, para versiones anteriores a la 2.4.55:
- CVE-2022-31813: no se envían los encabezados X-Forwarded-* al servidor de origen basándose en el mecanismo hop-by-hop del encabezado de conexión del lado del cliente. Esto puede usarse para evitar la autenticación basada en la IP en el servidor de origen/aplicación.
- CVE-2023-25690: algunas configuraciones de mod_proxy permiten un ataque de Contrabando de Solicitudes HTTP (HTTP Request Smuggling). Las configuraciones se ven afectadas cuando mod_proxy está habilitado junto con alguna forma de RewriteRule o ProxyPassMatch en la que un patrón no específico coincide con alguna parte de los datos de la solicitud de destino (URL) suministrada por el usuario y luego se vuelve a insertar en la solicitud de destino proxy utilizando la sustitución de variables.
- CVE-2022-28615: Apache HTTP Server puede dejar de funcionar o revelar información por una lectura fuera de límites en ap_strcmp_match() cuando se le proporciona un búfer de entrada extremadamente grande.
- CVE-2022-36760: interpretación incoherente de peticiones HTTP (HTTP Request Smuggling) en mod_proxy_ajp del servidor HTTP, permite a un atacante pasar si comprobación peticiones al servidor AJP al que reenvía las peticiones.
- Hitachi Energy MACH GWS:
- CVE-2024-4872: esta vulnerabilidad está en la validación de consultas del producto MACH GWS. Si se explota podría permitir a un atacante autenticado inyectar código a través de datos persistentes.
- CVE-2024-3980 : un usuario autenticado puede controlar o influir en las rutas o nombre de archivos que se utilizan en las operaciones del sistema de archivos, lo que puede permitir a un atacante acceder o modificar archivos de sistema u otros archivos que sean críticos para la aplicación.
El resto de vulnerabilidades y avisos se pueden consultar en las referencias.
Múltiples vulnerabilidades en productos de Dario Health
- APP para Android: Dario Blood Glucose Monitoring System Starter Kit (USB-C), versiones 5.8.7.0.36 y anteriores;
- Base de datos de la Aplicación Dario;
- Infraestructura de servidor basada en Internet, todas las versiones.
Noah Cutler y Manuel Del Río de Accenture han informado de 7 vulnerabilidades, 3 de severidad alta y 4 media que podrían permitir a un atacante acceder a información sensible de los usuarios y manipular la información enviada a la aplicación, entre otros.
Actualizar, desde fuentes confiables, la APP a la última versión.
Las vulnerabilidades de severidad alta son:
- CVE-2025-20060: revelación de información privada. Un atacante podría acceder a Información de Identificación Personal (PII) de varios usuarios e información de salud personal transmitida al dispositivo Android a través de la base de datos de la aplicación.
- CVE-2025-24849: la información sensible se envía en texto claro, lo que facilita la posibilidad de manipulación o exposición de datos confidenciales.
- CVE-2025-20049: no se neutraliza de forma adecuada la entrada durante la generación de páginas web, lo que hace que la aplicación sea sensible a XSS (secuencias de comandos en sitios cruzados). Si un atacante explota esta vulnerabilidad podría obtener información confidencial.
El resto de vulnerabilidades se pueden consultar en las referencias.
Escritura fuera de los límites en módulos de comunicación Modicon de Schneider Electric
Los siguientes módulos de comunicación:
- Modicon M580 BMENOC BMENOC0321: versiones anteriores a SV1.10;
- Modicon M580 BMECRA BMECRA31210: todas las versiones;
- Modicon M580/Quantum BMXCRA BMXCRA31200: todas las versiones;
- Modicon M580/Quantum BMXCRA BMXCRA31210: todas las versiones;
- Modicon Quantum 140CRA 140CRA31908: todas las versiones;
- Modicon Quantum 140CRA 140CRA31200: todas las versiones.
Schneider Electric ha informado de una vulnerabilidad de severidad alta en módulos de comunicación que podría permitir un ataque de desbordamiento de pila, lo que podría derivar en la pérdida de confidencialidad, integridad y denegación de servicio del dispositivo (DoS).
- Modicon M580 BMENOC BMENOC0321: actualizar a la versión SV1.10.
- Schneider Electric está estableciendo un plan de reparación para todas las versiones futuras de BMECRA, BMXCRA y 140CRA que incluirán una solución para esta vulnerabilidad.
La vulnerabilidad podría provocar un desbordamiento de pila en el servidor DHCP en Wind River VxWorks hasta 6.8.
Se ha asignado el identificador CVE-2021-29999 para esta vulnerabilidad.