Limitación incorrecta de la ruta a un directorio restringido en productos de Phoenix Contact

Fecha de publicación: 11/04/2023

Importancia:
Alta

Recursos afectados:

  • ENERGY AXC PU, versiones V04.15.00.00 y anteriores;
  • SMARTRTU AXC SG, versiones V01.08.00.02 y anteriores;
  • SMARTRTU AXC IG, versiones V01.02.00.01 y anteriores;
  • Infobox (producto discontinuado, sin soporte), versiones V02.02.00.00 y anteriores.

Descripción:

Laokoon SecurITy GmbH, en nombre de E.ON Digital Technology GmbH y con la coordinación del CERT@VDE, ha informado de una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante obtener acceso al sistema de archivos de los dispositivos afectados.

Solución:

Phoenix Contact recomienda actualizar los recursos afectados a la última versión disponible de firmware:

  • ENERGY AXC PU: versión V04.15.00.01.
  • SMARTRTU AXC SG: versión V01.09.00.00
  • SMARTRTU AXC IG: solución no disponible hasta el final del Q3 de 2023.
  • Infobox: producto sin soporte.

Detalle:

Un usuario autenticado en el fronted puede acceder, leer, escribir y crear archivos a través del sistema de archivos, utilizando URL especialmente diseñadas a través de las funciones de carga y descarga del servicio web. Se ha asignado el identificador CVE-2023-1109 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.