Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Limitación incorrecta de la ruta a un directorio restringido en Crimson de Red Lion Controls

Fecha de publicación 18/11/2022
Identificador

INCIBE-2022-1018

Importancia
4 - Alta
Recursos Afectados
  • Crimson 3.0, versión 707.000 y anteriores;
  • Crimson 3.1, versión 3126.001 y anteriores;
  • Crimson 3.2, versión 3.2.0044.0 y anteriores.
Descripción

La compañía Dragos ha informado a Red Lion Controls de una vulnerabilidad de severidad alta en el producto Crimson, cuya explotación podría permitir que un atacante obtuviese los hashes de credenciales de usuario.

Solución

Actualizar a las siguientes versiones:

  • Crimson 3.0, versión 711.00.
  • Crimson 3.1, versión 3126.02.
  • Crimson 3.2, versión 3.0045.
Detalle

Al intentar abrir un archivo utilizando una ruta específica, el hash de la contraseña del usuario se envía a un host arbitrario, lo que podría permitir a un atacante obtener los hashes de las credenciales del usuario. Se ha asignado el identificador CVE-2022-3090 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-22-321-01) Red Lion Crimson
Etiquetas