Fecha de publicaciĂłn: 27/09/2022
Importancia:
CrĂtica
Recursos afectados:
- CPY Car Park Server, versiones anteriores a 2.8.3;
- versiones anteriores a 8.5.0.3 de:
- UWP 3.0 Monitoring Gateway y Controller;
- UWP 3.0 Monitoring Gateway y Controller â versiĂłn EDP;
- UWP 3.0 Monitoring Gateway y Controller â Security Enhanced.
DescripciĂłn:
La investigadora, Vera Mens, de Claroty Research, coordinada y apoyada para esta publicaciĂłn por el CERT@VDE, ha identificado 11 vulnerabilidades en distintos productos de Carlo Gavazzi Controls, siendo 6 de severidad crĂtica, 4 altas y 1 media.
SoluciĂłn:
Actualizar los productos afectados a las versiones correctoras:
- CPY Car Park Server, versiones 2.8.3 o superiores;
- versiones 8.5.0.3 o superiores de:
- UWP 3.0 Monitoring Gateway y Controller;
- UWP 3.0 Monitoring Gateway y Controller â versiĂłn EDP;
- UWP 3.0 Monitoring Gateway y Controller â Security Enhanced.
Detalle:
A continuaciĂłn se detallan las vulnerabilidades crĂticas:
- Un atacante remoto, no autenticado, podrĂa hacer uso de las credenciales en texto claro para obtener acceso completo al dispositivo. Se ha asignado el identificador CVE-2022-22522 para esta vulnerabilidad.
- Un atacante remoto, no autenticado, podrĂa utilizar una vulnerabilidad de inyecciĂłn SQL para obtener acceso completo a la base de datos, modificar usuarios y detener servicios. Se ha asignado el identificador CVE-2022-22524 para esta vulnerabilidad.
- La falta de autenticaciĂłn podrĂa permitir el acceso completo a travĂ©s de la API. Se ha asignado el identificador CVE-2022-22526 para esta vulnerabilidad.
- Un atacante remoto, no autenticado, podrĂa utilizar una validaciĂłn de entrada inadecuada en un parĂĄmetro enviado por la API para ejecutar comandos arbitrarios del sistema operativo. Se ha asignado el identificador CVE-2022-28811 para esta vulnerabilidad.
- Un atacante remoto, no autenticado, podrĂa hacer uso de las credenciales en texto claro para obtener acceso de SuperUser al dispositivo. Se ha asignado el identificador CVE-2022-28812 para esta vulnerabilidad.
- El dispositivo afectado es vulnerable a un path traversal que podrĂa permitir a los atacantes remotos leer archivos arbitrarios y obtener el control total del dispositivo. Se ha asignado el identificador CVE-2022-28814 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-28816, CVE-2022-22523, CVE-2022-28813, CVE-2022-22525 y CVE-2022-28815.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.