Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en Control de Ciber

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 19/04/2023

Importancia:
Alta

Recursos afectados:

Control de Ciber, versiĂłn 1.650.

DescripciĂłn:

INCIBE ha coordinado la publicaciĂłn de 3 vulnerabilidades en el aplicativo Control de Ciber, que han sido descubiertas por Sergio ApellĂĄniz.

A estas vulnerabilidades se les han asignado los códigos: CVE-2022-4896, CVE-2022-48474 y CVE-2022-48475.

Para las 3 vulnerabilidades, se ha calculado una puntuaciĂłn base CVSS v3.1 de 7,3, siendo el cĂĄlculo del CVSS el siguiente: AV:N/AC:L/PR:N/UI:N/S:U/C:L/N:N/A:H.

SoluciĂłn:

No hay soluciĂłn identificada por el momento.

Detalle:

Control de Ciber, en su versión 1.650, podría permitir a un atacante remoto no autenticado, enviar peticiones cuidadosamente diseñadas con el objetivo de explotar las siguientes vulnerabilidades:

  • CVE-2022-4896:
    • GeneraciĂłn en el servidor de ventanas emergentes con los mensajes “PNTMEDIDAS”, “PEDIR”, “HAYDISCOA” o “SPOOLER”. Se puede conseguir una denegaciĂłn de servicio completa mediante el envĂ­o de mĂșltiples peticiones simultĂĄneamente en un bucle.
    • El tipo de vulnerabilidad es CWE-400: consumo incontrolado de recursos.
  • CVE-2022-48474:
    • DenegaciĂłn de servicio a travĂ©s de la funciĂłn version. El envĂ­o de una peticiĂłn maliciosa, podrĂ­a hacer que el servidor compruebe si un componente no reconocido estĂĄ actualizado, provocando un error de fallo de memoria que cierra el proceso.
    • El tipo de vulnerabilidad es CWE-703: control o tratamiento inadecuados de condiciones excepcionales.
  • CVE-2022-48475:
    • Buffer Overflow en la funciĂłn printing. El envĂ­o de una peticiĂłn modificada por el atacante, podrĂ­a causar un desbordamiento de bĂșfer cuando el administrador intente aceptar o eliminar la consulta de impresiĂłn creada por la solicitud.
    • El tipo de vulnerabilidad es CWE-119: restricciĂłn inadecuada de operaciones dentro de los lĂ­mites del bĂșfer de memoria.

Si tienes mĂĄs informaciĂłn sobre este aviso, ponte en contacto con INCIBE, como se indica en la secciĂłn de ‘AsignaciĂłn y publicaciĂłn de CVE‘.

Encuesta valoraciĂłn

Etiquetas:
0day, CNA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.