Múltiples vulnerabilidades en ARC Informatique PcVue

Fecha de publicación: 21/12/2022

Importancia:
Media

Recursos afectados:

• PcVue versión 15 hasta versión 15.2.2 (solo afectadas por la vulnerabilidad CVE-2022-3411).
• PcVue versión 8.10 hasta versión 15.2.3 (solo afectadas por la vulnerabilidad CVE-2022-3412).

Descripción:

ARC Informatique ha notificado 2 vulnerabilidades de severidad media, cuya explotación podría permitir a un atacante acceder a la cuenta de correo electrónico, la tarjeta SIM y otras fuentes de datos asociadas con el dispositivo afectado.

Solución:

ARC Informatique recomienda que los usuarios actualicen a la última versión disponible del producto afectado. Para más información, revisa los avisos del fabricante SB2022-6 y SB2022-7 (se requiere login).

Detalle:

• Existe una vulnerabilidad de almacenamiento de información sensible en texto claro en PcVue, la cual podría permitir a un usuario no autenticado acceder a los archivos de configuración de las cuentas de correo electrónico y servicio de mensajería corta, con el objetivo de obtener las credenciales de la cuenta de protocolo simple de transferencia de correo asociada (SMTP), así como el código PIN de la tarjeta SIM. Se ha asignado el identificador CVE-2022-4312 para esta vulnerabilidad.
• Existe una vulnerabilidad de inserción de información sensible en archivos de registro en PcVue, lo que podría permitir a un usuario autenticado con acceso a los archivos de registro descubrir credenciales incluidas en las fuentes de datos configuradas para DbConnect. Se ha asignado el identificador CVE-2022-4311 para esta vulnerabilidad.

Etiquetas:
Actualización, Infraestructuras críticas, SCADA, Vulnerabilidad