[Actualización 24/09/2021] Múltiples vulnerabilidades en TBox de Ovarro

• Una vulnerabilidad de control inapropiado en la generación de código podría permitir a un atacante ejecutar código malicioso aprovechando que el paquete “ipk”, que contiene la configuración de TWinSoft, puede ser cargado, extraído y ejecutado en TBox. Se ha asignado el identificador CVE-2021-22646 para esta vulnerabilidad.
• Una asignación incorrecta de permisos en las funciones para el acceso a archivos Modbus propias de TBox podría permitir a un atacante leer, modificar o eliminar archivos de configuración. Se ha asignado el identificador CVE-2021-22648 para esta vulnerabilidad.
• Un atacante podría causar una condición de denegación de servicio haciendo uso de tramas Modbus, especialmente diseñadas, aprovechando una vulnerabilidad de consumo no controlado de recursos. Se ha asignado el identificador CVE-2021-22642 para esta vulnerabilidad.
• Un atacante podría descifrar la contraseña de inicio de sesión mediante sniffing de las comunicaciones y ataques de fuerza bruta aprovechando una protección insuficiente de las credenciales. Se ha asignado el identificador CVE-2021-22640 para esta vulnerabilidad.
• TWinSoft utiliza clave de cifrado codificada en texto claro para el usuario “TwinSoft”. Se ha asignado el identificador CVE-2021-22644 para esta vulnerabilidad.

[Actualización 24/09/2021]

• La utilización de TWinSoft y un archivo de proyecto fuente malicioso (TPG), para extraer archivos en la máquina que ejecuta TWinSoft, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-22650 para esta vulnerabilidad.