- Monitool, versiĂłn 4.6.3.
INCIBE ha coordinado la publicaciĂłn de 4 vulnerabilidades: una de severidad crĂtica, una de severidad alta, y dos de severidad media que afectan a Monitool de Badger Meter en su versiĂłn 4.6.3, un software para la gestiĂłn de terminales del sector del agua, las cuales han sido descubiertas por Guillermo Garcia Molina.
A estas vulnerabilidades se les han asignado los siguientes cĂłdigos, puntuaciĂłn base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2024-1301: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
- CVE-2024-1302: 7.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N | CWE-200.
- CVE-2024-1303: 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-22.
- CVE-2024-1304: 6.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-79.
Las vulnerabilidades han sido resueltas en las vertsiones 4.7 y posteriores.
- CVE-2024-1301: vulnerabilidad de inyecciĂłn SQL en Badger Meter Monitool que afecta a las versiones 4.6.3 y anteriores. Un atacante remoto podrĂa enviar una consulta SQL especialmente diseñada al servidor a travĂ©s del parĂĄmetro j_username y recuperar la informaciĂłn almacenada en la base de datos.
- CVE-2024-1302: vulnerabilidad de exposiciĂłn de InformaciĂłn en Badger Meter Monitool que afecta a versiones hasta la 4.6.3 y anteriores. Un atacante local podrĂa cambiar el parĂĄmetro de archivo de la aplicaciĂłn a un archivo de registro obteniendo toda la informaciĂłn sensible como las credenciales de la base de datos.
- CVE-2024-1303: vulnerabilidad de limitaciĂłn incorrecta de la ruta a un directorio restringido en Badger Meter Monitool que afecta a versiones hasta la 4.6.3 y anteriores. Esta vulnerabilidad permite a un atacante autenticado recuperar cualquier archivo del dispositivo utilizando la funcionalidad download-file.
- CVE-2024-1304: vulnerabilidad de cross-site scripting en Badger Meter Monitool que afecta a versiones hasta la 4.6.3 y anteriores. Esta vulnerabilidad permite a un atacante remoto enviar una carga Ăștil javascript especialmente diseñada a un usuario autenticado y tomar parcialmente su sesiĂłn de navegador.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para mĂĄs informaciĂłn o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catĂĄlogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestiĂłn que pueda tener.