Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en DIAEnergie de Delta Electronics

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 23/03/2022

Importancia:
CrĂ­tica

Recursos afectados:

DIAEnergie: todas las versiones anteriores a la 1.8.02.004.

DescripciĂłn:

Michael Heinzl y Dusan Stevanovic, investigadores de ZDI de Trend Micro, han reportado al CISA 17 vulnerabilidades: 16 de severidad crĂ­tica y 1 de severidad alta, por las que un atacante podrĂ­a escribir archivos arbitrarios en ubicaciones del sistema de archivos, crear nuevos archivos (como DLL) o reemplazar archivos ejecutables existentes o inyectar consultas SQL arbitrarias.

SoluciĂłn:

Delta Electronics ha corregido las vulnerabilidades notificadas en la versiĂłn 1.08.02.004. Los usuarios deben ponerse en contacto con el servicio de atenciĂłn al cliente de Delta o con un representante de la compañía para obtener esta versiĂłn, ya que no se harĂĄ pĂșblica. Delta estĂĄ trabajando en una versiĂłn pĂșblica que incluirĂĄ estas correcciones y otras caracterĂ­sticas el 30 de junio de 2022.

Detalle:

  • El producto afectado es vulnerable a los ataques de tipo path transversal. Se ha asignado el identificador CVE-2022-25347 para esta vulnerabilidad de severidad crĂ­tica.
  • Un permiso incorrecto por defecto en la aplicaciĂłn DIAEnergie. Se ha asignado el identificador CVE-2022-26839 para esta vulnerabilidad de severidad alta.
  • Existen vulnerabilidades de inyecciĂłn SQL en HandlerCommon.ashx, HandlerPage_KID.ashx, GetCalcTagList, DIAE_hierarchyHandler.ashx, GetQueryData, GetLatestDemandNode, GetDemandAnalysisData, DIAE_dmdsetHandler.ashx, HandlerExport.ashx/Calendar, HandlerDialog_KID.ashx, HandlerDialogECC.ashx, DIAE_HandlerTag_KID.ashx, DIAE_eccoefficientHandler.ashx, DIAE_hierarchyHandler.ashx y DIAE_tagHandler.ashx. Se han asignado los identificadores CVE-2022-25980, CVE-2022-26069, CVE-2022-27175, CVE-2022-26338, CVE-2022-26059, CVE-2022-26065, CVE-2022-26013, CVE-2022-26836, CVE-2022-0923, CVE-2022-26666, CVE-2022-26887, CVE-2022-26349, CVE-2022-25880, CVE-2022-26514 y CVE-2022-26667 para estas vulnerabilidades de severidad crĂ­tica.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.