Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Ovation de Emerson

Fecha de publicación 07/06/2024
Identificador
INCIBE-2024-0299
Importancia
5 - Crítica
Recursos Afectados

Versiones de Obation 3.8.0 Feature Pack 1 y anteriores.

Descripción

Daniel dos Santos y Jos Wetzels, de Forescout Technologies, han reportado a CISA 2 vulnerabilidades de severidad crítica que podrían permitir la ejecución remota de código o denegación de servicio. 

Solución

Actualizar a la versión de Ovation 3.8.0 Feature Pack 3.

Detalle
  • CVE-2022-29966: Ovation dispone de varios protocolos que no requieren autenticarse, lo que permitiría a un atacante cambiar la configuración del controlador o provocar una denegación de servicio.
  • CVE-2022-30267: Ovation no tiene un sistema de autenticación para la firma del firmware, en su lugar utiliza un checksum inseguro para comprobar la integridad. Un atacante podría utilizar imágenes de firmware maliciosas para causar una denegación de servicio o conseguir la ejecución remota de código.
Listado de referencias
ICSA-24-158-02 - Emerson Ovation
Etiquetas