MĂșltiples vulnerabilidades 0day en Inductive Automation Ignition

MĂșltiples vulnerabilidades 0day en Inductive Automation Ignition
MiĂ©, 09/08/2023 – 09:10

Recursos Afectados

Ignition.

DescripciĂłn

Varios investigadores han reportado 5 vulnerabilidades 0day, 2 de severidad crĂ­tica y 3 altas, cuya explotaciĂłn podrĂ­a permitir a un atacante ejecutar cĂłdigo remoto o provocar una condiciĂłn de denegaciĂłn de servicio (DoS).

5 – CrĂ­tica
SoluciĂłn

Dada la naturaleza de las vulnerabilidades, al tratarse de 0day, la Ășnica estrategia de mitigaciĂłn consiste en limitar el uso de la aplicaciĂłn.

Detalle

Las vulnerabilidades crĂ­ticas se describen a continuaciĂłn:

  • La vulnerabilidad se ha detectado en la clase JavaSerializationCodec, debido a la falta de validaciĂłn adecuada de los datos suministrados por el usuario, lo que podrĂ­a dar lugar a la deserializaciĂłn de datos no fiables. Un atacante podrĂ­a ejecutar cĂłdigo en el contexto de SYSTEM. Se ha asignado el identificador CVE-2023-39476 para esta vulnerabilidad.
  • El fallo se encuentra en la clase ParameterVersionJavaSerializationCodec, originado por la falta de validaciĂłn correcta de los datos proporcionados por el usuario, lo que podrĂ­a dar lugar a la deserializaciĂłn de datos no fiables. Un atacante podrĂ­a explotar esta vulnerabilidad para ejecutar cĂłdigo en el contexto de SYSTEM. Se ha asignado el identificador CVE-2023-39475 para esta vulnerabilidad.

El resto de vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2023-39473, CVE-2023-39474 y CVE-2023-39477.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.