Facebook Instagram Linkedin

C/ Zaplana, 11 - Entlo. Yecla, Murcia (30510)

info@techconsulting.es

Múltiples vulnerabilidades en productos de Delta Electronics

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 27/08/2021

Importancia:
Crítica

Recursos afectados:

  • DIAEnergie version 1.7.5 y anteriores;
  • DOPSoft versión 4.00.11 y anteriores.

Descripción:

Michael Heinzl y un investigador anónimo, han reportado al CISA seis vulnerabilidades de severidad crítica, una de severidad alta y dos de severidad media, que podrían permitir a un atacante acceder a contraseñas en texto plano, ejecutar código arbitrario de forma remota, tomar el control del dispositivo con privilegios de administrador o hacer que un usuario realice una acción de forma involuntaria.

Solución:

  • Para DIAEnergie, Delta Electronics está trabajando en un parche y recomienda a los usuarios que instalen la actualización que se publicará el próximo 15 de septiembre;
  • Para DOPSoft, Delta Electronics también está trabajando en la mitigación de la vulnerabilidad y se invita a los usuarios afectados a ponerse en contacto con el servicio de atención para obtener más información.

Detalle:

  • Una vulnerabilidad de omisión de la autentificación mediante una ruta o canal alternativo en DIAEnergie podría permitir a un atacante, no autenticado o autorizado, añadir un nuevo usuario administrador y así, iniciar sesión y utilizar el dispositivo con privilegios de administrador. Se ha asignado el identificador CVE-2021-32967 para esta vulnerabilidad crítica.
  • Una vulnerabilidad de carga de archivos de tipo peligroso sin restricciones en DIAEnergie podría permitir a un atacante ejecutar código de forma remota. Se ha asignado el identificador CVE-2021-32955 para esta vulnerabilidad de severidad crítica.
  • Una vulnerabilidad de inyección de SQL ciego en DIAEnergie hace que la aplicación no valide correctamente el valor introducido por el usuario, a través del tipo de parámetro correspondiente, antes de efectuar una consulta SQL, lo que podría permitir a un atacante, remoto y no autenticado, ejecutar código arbitrario. Se han asignado los identificadores CVE-2021-32983, CVE-2021-38390, CVE-2021-38391 y CVE-2021-32991 para estas vulnerabilidades críticas.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-33019.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-33003 y CVE-2021-32991.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Related Posts

Múltiples vulnerabilidades en WBSAirback de White Bear Solutions
Exposición de información en CGA2121 de Technicolor
Múltiples vulnerabilidades en OpenGnsys
Vulnerabilidad de inyección de comandos en Palo Alto Networks PAN-OS