Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en RONDS EPM

Fecha de publicación 13/01/2023
Identificador

INCIBE-2023-0011

Importancia
4 - Alta
Recursos Afectados

RONDS EPM, versión 1.19.5

Descripción

TsungShu Chiu, de CHT Security, ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante no autorizado filtrar las credenciales de inicio de sesión, así como descargar archivos. En algunos casos, el atacante, no autorizado, podría hacer uso de las credenciales de inicio de sesión obtenidas para llevar a cabo una ejecución remota de código.

Solución

RONDS recomienda actualizar el producto afectado a la versión de software 1.35.21.

Detalle
  • RONDS EMP en su versión 1.19.5, presenta una vulnerabilidad que podría permitir a un usuario, no autorizado, obtener las credenciales de inicio de sesión, llegando, incluso en algunas circunstancias, a realizar una ejecución remota de código, haciendo uso de los mismos. Se ha asignado el identificador CVE-2022-3091 para esta vulnerabilidad.
  • RONDS EMP en su versión 1.19.5, no valida correctamente el parámetro del nombre de archivo, pudiendo permitir a un usuario, no autorizado, especificar rutas y descargar archivos. Se ha asignado el identificador CVE-2022-2893 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-23-012-02) RONDS Equipment Predictive Maintenance Solution
Etiquetas