Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Fuga de información en Delta Electronics DRAS

Fecha de publicación 17/08/2022
Identificador

INCIBE-2022-0883

Importancia
3 - Media
Recursos Afectados

DRAS, versiones anteriores a 1.13.20.

Descripción

Kimiya, trabajando junto a ZDI de Trend Micro, ha reportado esta vulnerabilidad que podría permitir a un atacante leer y filtrar información sensible del host afectado.

Solución

Delta Electronics recomienda a los usuarios que actualicen el DRAS a la versión 1.13.20 o posterior para solucionar esta vulnerabilidad.

Detalle

El software procesa un documento XML que podría contener entidades XML con URI que resuelven a documentos fuera del rango previsto, ocasionando que el producto inserte documentos incorrectos en su salida. Esta situación podría permitir a un atacante ver documentos e información sensibles en el host afectado. Se ha asignado el identificador CVE-2022-2759 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-22-228-03) Delta Industrial Automation DRAS
Etiquetas