Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos de Delta Electronics

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 27/08/2021

Importancia:
CrĂ­tica

Recursos afectados:

  • DIAEnergie version 1.7.5 y anteriores;
  • DOPSoft versiĂłn 4.00.11 y anteriores.

DescripciĂłn:

Michael Heinzl y un investigador anónimo, han reportado al CISA seis vulnerabilidades de severidad crítica, una de severidad alta y dos de severidad media, que podrían permitir a un atacante acceder a contraseñas en texto plano, ejecutar código arbitrario de forma remota, tomar el control del dispositivo con privilegios de administrador o hacer que un usuario realice una acción de forma involuntaria.

SoluciĂłn:

  • Para DIAEnergie, Delta Electronics estĂĄ trabajando en un parche y recomienda a los usuarios que instalen la actualizaciĂłn que se publicarĂĄ el prĂłximo 15 de septiembre;
  • Para DOPSoft, Delta Electronics tambiĂ©n estĂĄ trabajando en la mitigaciĂłn de la vulnerabilidad y se invita a los usuarios afectados a ponerse en contacto con el servicio de atenciĂłn para obtener mĂĄs informaciĂłn.

Detalle:

  • Una vulnerabilidad de omisiĂłn de la autentificaciĂłn mediante una ruta o canal alternativo en DIAEnergie podrĂ­a permitir a un atacante, no autenticado o autorizado, añadir un nuevo usuario administrador y asĂ­, iniciar sesiĂłn y utilizar el dispositivo con privilegios de administrador. Se ha asignado el identificador CVE-2021-32967 para esta vulnerabilidad crĂ­tica.
  • Una vulnerabilidad de carga de archivos de tipo peligroso sin restricciones en DIAEnergie podrĂ­a permitir a un atacante ejecutar cĂłdigo de forma remota. Se ha asignado el identificador CVE-2021-32955 para esta vulnerabilidad de severidad crĂ­tica.
  • Una vulnerabilidad de inyecciĂłn de SQL ciego en DIAEnergie hace que la aplicaciĂłn no valide correctamente el valor introducido por el usuario, a travĂ©s del tipo de parĂĄmetro correspondiente, antes de efectuar una consulta SQL, lo que podrĂ­a permitir a un atacante, remoto y no autenticado, ejecutar cĂłdigo arbitrario. Se han asignado los identificadores CVE-2021-32983, CVE-2021-38390, CVE-2021-38391 y CVE-2021-32991 para estas vulnerabilidades crĂ­ticas.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-33019.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-33003 y CVE-2021-32991.

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.