Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en Sewio RTLS Studio

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 13/01/2023

Importancia:
CrĂ­tica

Recursos afectados:

RTLS (Real-Time Location System) Studio, desde la versiĂłn 2.0.0 hasta la 2.6.2 inclusive.

DescripciĂłn:

Andrea Palanca, de Nozomi Networks, ha reportado 9 vulnerabilidades que afectan a RTLS Studio, 4 de severidad crĂ­tica, 2 altas y 3 medias. La explotaciĂłn exitosa de estas vulnerabilidades podrĂ­a permitir a un atacante obtener acceso no autorizado al servidor, alterar informaciĂłn, crear una condiciĂłn de denegaciĂłn de servicio (DoS), escalar privilegios y ejecutar cĂłdigo arbitrario.

SoluciĂłn:

Actualizar RTLS Studio a las versiones 3.0.0 o posteriores (solo aplica para las vulnerabilidades CVE-2022-47911, CVE-2022-43483, CVE-2022-45127, CVE-2022-47395, CVE-2022-47917, CVE-2022-46733 y CVE-2022-43455).

Para CVE-2022-45444, cambiar manualmente la contraseña de la base de datos.

Detalle:

Las vulnerabilidades crĂ­ticas se describen a continuaciĂłn:

  • Contraseñas en texto claro para usuarios seleccionados en la base de datos de la aplicaciĂłn, lo que podrĂ­a permitir a un atacante remoto iniciar sesiĂłn en la base de datos sin restricciones. Se ha asignado el identificador CVE-2022-45444 para esta vulnerabilidad.
  • ValidaciĂłn incorrecta del nombre del mĂłdulo de entrada para los servicios de respaldo del software. Esto podrĂ­a permitir que un atacante remoto acceda a funciones confidenciales de la aplicaciĂłn y ejecute comandos arbitrarios del sistema. Se ha asignado el identificador CVE-2022-47911 para esta vulnerabilidad.
  • El nombre del mĂłdulo de entrada para los servicios de monitorizaciĂłn del software no se valida adecuadamente, lo que podrĂ­a permitir que un atacante remoto accediese a funciones confidenciales de la aplicaciĂłn y ejecutase comandos arbitrarios del sistema. Se ha asignado el identificador CVE-2022-43483 para esta vulnerabilidad.
  • La longitud de las cargas de sus informes no se comprueban durante la comunicaciĂłn. Esta situaciĂłn podrĂ­a permitir que un atacante envĂ­e un payload excesivamente largo, resultando en una escritura fuera de lĂ­mites para provocar una condiciĂłn de denegaciĂłn de servicio o ejecutar cĂłdigo. Se ha asignado el identificador CVE-2022-41989 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-45127, CVE-2022-47395, CVE-2022-47917, CVE-2022-46733 y CVE-2022-43455.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.