Múltiples vulnerabilidades en productos de Automated Logic
Fecha de publicación 22/11/2024
Identificador
INICBE-2024-577
Importancia
5 - Crítica
Recursos Afectados
- Automated Logic WebCTRL® Server, versión 7.0;
- Carrier i-Vu, versión 7.0;
- Automated Logic SiteScan Web, versión 7.0;
- Automated Logic WebCTRL for OEMs, versión 7.0.
Descripción
Jaryl Low, Thuy D. Nguyen y Cynthia E. Irvine han notificación 2 vulnerabilidades: 1 de severidad crítica y otra media, que podrían permitir a un atacante remoto, no autenticado, ejecutar comandos arbitrarios en el servidor que aloja WebCTRL o redirigir a usuarios legítimos a sitios maliciosos.
Solución
Automated Logic ha recomendado lo siguiente:
- Para la vulnerabilidad CVE-2024-8525, hay una actualización de software disponible en el sitio de soporte del distribuidor autorizado. Se recomienda que los clientes actualicen su software a la última versión compatible.
- La vulnerabilidad CVE-2024-8526 se ha corregido en la versión 8.0 para todos los productos afectados.
Detalle
La vulnerabilidad de severidad crítica permite a un usuario, no autenticado, cargar archivos peligrosos sin restricciones, lo que podría llevar a la ejecución remota de comandos. Se ha asignado el identificador CVE-2024-8525 para esta vulnerabilidad.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2024-8526.
Listado de referencias
