Múltiples vulnerabilidades en productos de Delta Electronics

Fecha de publicación: 27/08/2021

Importancia:
Crítica

Recursos afectados:

  • DIAEnergie version 1.7.5 y anteriores;
  • DOPSoft versión 4.00.11 y anteriores.

Descripción:

Michael Heinzl y un investigador anónimo, han reportado al CISA seis vulnerabilidades de severidad crítica, una de severidad alta y dos de severidad media, que podrían permitir a un atacante acceder a contraseñas en texto plano, ejecutar código arbitrario de forma remota, tomar el control del dispositivo con privilegios de administrador o hacer que un usuario realice una acción de forma involuntaria.

Solución:

  • Para DIAEnergie, Delta Electronics está trabajando en un parche y recomienda a los usuarios que instalen la actualización que se publicará el próximo 15 de septiembre;
  • Para DOPSoft, Delta Electronics también está trabajando en la mitigación de la vulnerabilidad y se invita a los usuarios afectados a ponerse en contacto con el servicio de atención para obtener más información.

Detalle:

  • Una vulnerabilidad de omisión de la autentificación mediante una ruta o canal alternativo en DIAEnergie podría permitir a un atacante, no autenticado o autorizado, añadir un nuevo usuario administrador y así, iniciar sesión y utilizar el dispositivo con privilegios de administrador. Se ha asignado el identificador CVE-2021-32967 para esta vulnerabilidad crítica.
  • Una vulnerabilidad de carga de archivos de tipo peligroso sin restricciones en DIAEnergie podría permitir a un atacante ejecutar código de forma remota. Se ha asignado el identificador CVE-2021-32955 para esta vulnerabilidad de severidad crítica.
  • Una vulnerabilidad de inyección de SQL ciego en DIAEnergie hace que la aplicación no valide correctamente el valor introducido por el usuario, a través del tipo de parámetro correspondiente, antes de efectuar una consulta SQL, lo que podría permitir a un atacante, remoto y no autenticado, ejecutar código arbitrario. Se han asignado los identificadores CVE-2021-32983, CVE-2021-38390, CVE-2021-38391 y CVE-2021-32991 para estas vulnerabilidades críticas.

Para la vulnerabilidad de severidad alta se ha asignado el identificador CVE-2021-33019.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2021-33003 y CVE-2021-32991.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.