Múltiples vulnerabilidades en Measuresoft ScadaPro
INCIBE-2022-0895
ScadaPro Server y Client, todas las versiones.
Dos investigadores han reportado 6 vulnerabilidades, 5 de severidad alta y 1 media, que podrían permitir a un atacante ejecutar código arbitrario, escalar privilegios o realizar una denegación de servicio.
- Para solucionar la vulnerabilidad CVE-2022-2892, el fabricante ha publicado la versión 6.8.0.1;
- para el resto de vulnerabilidades, el fabricante está desarrollando las medidas de mitigación necesarias.
Las vulnerabilidades de severidad alta podrían permitir las siguientes acciones: escritura fuera de límites, punteros no confiables al procesar un archivo de proyecto específico, desbordamiento de búfer, uso de memoria después de ser liberada y escalada de privilegios. Se han asignado los identificadores CVE-2022-2892, CVE-2022-2894, CVE-2022-2895, CVE-2022-2896 y CVE-2022-2897.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2022-2898.