Inyección de comandos en REX 100 de Helmholz

Fecha de publicación 04/07/2024

Importancia

4 - Alta

Recursos Afectados

REX 100, versiones 2.2.11 y anteriores.

Descripción

El investigador Sebastian Dietz (CyberDanube), junto con la coordinación del CERT@VDE con el fabricante Helmholz, ha reportado una vulnerabilidad de severidad alta de inyección de comandos del sistema operativo, que podría permitir a un atacante autenticado ejecutar comandos arbitrarios del sistema a través de peticiones GET.

Solución

Actualizar el producto afectado a la versión 2.2.13.

Detalle

Un atacante remoto con privilegios elevados podría ejecutar comandos arbitrarios del sistema a través de peticiones GET, debido a una neutralización incorrecta de los elementos especiales utilizados en un comando del sistema operativo. Se ha asignado el identificador CVE-2024-5672 para esta vulnerabilidad.

Listado de referencias

VDE-2024-032 - Helmholz: REX 100 vulnerable to OS command injection

Etiquetas

Actualización
Comunicaciones
Router
Sistemas de control industrial
Vulnerabilidad