Múltiples vulnerabilidades en ME RTU de INEA
Fecha de publicación 02/11/2023
Identificador
INCIBE-2023-0468
Importancia
5 - Crítica
Recursos Afectados
ME RTU: versiones 3.36b y anteriores.
Descripción
Floris Hendriks, de la Universidad de Radboud, ha informado de 2 vulnerabilidades de severidad crítica que podrían permitir la ejecución remota de código.
Solución
INEA recomienda a los usuarios actualizar ME RTU a la versión de firmware 3.37.
Detalle
- La vulnerabilidad CVE-2023-35762 se clasifica como neutralización inadecuada de elementos especiales utilizados en un comando del sistema operativo. Esto provoca que el firmware sea vulnerable a una inyección de comandos del sistema operativo.
- La vulnerabilidad CVE-2023-29155 se clasifica como una autenticación incorrecta dado que las versiones afectadas no requieren de autenticación en la cuenta de 'root' en el sistema host del dispositivo. Esto podría permitir a un atacante obtener acceso de nivel de administrador al sistema host.
Listado de referencias