Múltiples vulnerabilidades en DIAEnergie de Delta Electronics

Fecha de publicación: 23/03/2022

Importancia:
Crítica

Recursos afectados:

DIAEnergie: todas las versiones anteriores a la 1.8.02.004.

Descripción:

Michael Heinzl y Dusan Stevanovic, investigadores de ZDI de Trend Micro, han reportado al CISA 17 vulnerabilidades: 16 de severidad crítica y 1 de severidad alta, por las que un atacante podría escribir archivos arbitrarios en ubicaciones del sistema de archivos, crear nuevos archivos (como DLL) o reemplazar archivos ejecutables existentes o inyectar consultas SQL arbitrarias.

Solución:

Delta Electronics ha corregido las vulnerabilidades notificadas en la versión 1.08.02.004. Los usuarios deben ponerse en contacto con el servicio de atención al cliente de Delta o con un representante de la compañía para obtener esta versión, ya que no se hará pública. Delta está trabajando en una versión pública que incluirá estas correcciones y otras características el 30 de junio de 2022.

Detalle:

  • El producto afectado es vulnerable a los ataques de tipo path transversal. Se ha asignado el identificador CVE-2022-25347 para esta vulnerabilidad de severidad crítica.
  • Un permiso incorrecto por defecto en la aplicación DIAEnergie. Se ha asignado el identificador CVE-2022-26839 para esta vulnerabilidad de severidad alta.
  • Existen vulnerabilidades de inyección SQL en HandlerCommon.ashx, HandlerPage_KID.ashx, GetCalcTagList, DIAE_hierarchyHandler.ashx, GetQueryData, GetLatestDemandNode, GetDemandAnalysisData, DIAE_dmdsetHandler.ashx, HandlerExport.ashx/Calendar, HandlerDialog_KID.ashx, HandlerDialogECC.ashx, DIAE_HandlerTag_KID.ashx, DIAE_eccoefficientHandler.ashx, DIAE_hierarchyHandler.ashx y DIAE_tagHandler.ashx. Se han asignado los identificadores CVE-2022-25980, CVE-2022-26069, CVE-2022-27175, CVE-2022-26338, CVE-2022-26059, CVE-2022-26065, CVE-2022-26013, CVE-2022-26836, CVE-2022-0923, CVE-2022-26666, CVE-2022-26887, CVE-2022-26349, CVE-2022-25880, CVE-2022-26514 y CVE-2022-26667 para estas vulnerabilidades de severidad crítica.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.