Fecha de publicaciĂłn: 13/01/2023
Importancia:
CrĂtica
Recursos afectados:
RTLS (Real-Time Location System) Studio, desde la versiĂłn 2.0.0 hasta la 2.6.2 inclusive.
DescripciĂłn:
Andrea Palanca, de Nozomi Networks, ha reportado 9 vulnerabilidades que afectan a RTLS Studio, 4 de severidad crĂtica, 2 altas y 3 medias. La explotaciĂłn exitosa de estas vulnerabilidades podrĂa permitir a un atacante obtener acceso no autorizado al servidor, alterar informaciĂłn, crear una condiciĂłn de denegaciĂłn de servicio (DoS), escalar privilegios y ejecutar cĂłdigo arbitrario.
SoluciĂłn:
Actualizar RTLS Studio a las versiones 3.0.0 o posteriores (solo aplica para las vulnerabilidades CVE-2022-47911, CVE-2022-43483, CVE-2022-45127, CVE-2022-47395, CVE-2022-47917, CVE-2022-46733 y CVE-2022-43455).
Para CVE-2022-45444, cambiar manualmente la contraseña de la base de datos.
Detalle:
Las vulnerabilidades crĂticas se describen a continuaciĂłn:
- Contraseñas en texto claro para usuarios seleccionados en la base de datos de la aplicaciĂłn, lo que podrĂa permitir a un atacante remoto iniciar sesiĂłn en la base de datos sin restricciones. Se ha asignado el identificador CVE-2022-45444 para esta vulnerabilidad.
- ValidaciĂłn incorrecta del nombre del mĂłdulo de entrada para los servicios de respaldo del software. Esto podrĂa permitir que un atacante remoto acceda a funciones confidenciales de la aplicaciĂłn y ejecute comandos arbitrarios del sistema. Se ha asignado el identificador CVE-2022-47911 para esta vulnerabilidad.
- El nombre del mĂłdulo de entrada para los servicios de monitorizaciĂłn del software no se valida adecuadamente, lo que podrĂa permitir que un atacante remoto accediese a funciones confidenciales de la aplicaciĂłn y ejecutase comandos arbitrarios del sistema. Se ha asignado el identificador CVE-2022-43483 para esta vulnerabilidad.
- La longitud de las cargas de sus informes no se comprueban durante la comunicaciĂłn. Esta situaciĂłn podrĂa permitir que un atacante envĂe un payload excesivamente largo, resultando en una escritura fuera de lĂmites para provocar una condiciĂłn de denegaciĂłn de servicio o ejecutar cĂłdigo. Se ha asignado el identificador CVE-2022-41989 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-45127, CVE-2022-47395, CVE-2022-47917, CVE-2022-46733 y CVE-2022-43455.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.