Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Permisos de ejecución incorrectos en Open Automation Software

Fecha de publicación 04/12/2024
Identificador
INCIBE-2024-0593
Importancia
4 - Alta
Recursos Afectados
  • Open Automation Software: versiones anteriores a la V20.00.0076.
Descripción

Elcazador, del Instituto de Investigación Elex Feigong de Elex CyberSecurity Inc., ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante ejecutar código con privilegios escalados.

Solución

Open Automation Software recomienda a los usuarios actualizar OAS a la versión V20.00.0076 o posterior.

Detalle

Un usuario local de bajo nivel en la máquina servidor, con credenciales para los servicios OAS (Open Automation Software) en ejecución, podría crear y ejecutar un informe con un archivo rdlx en el propio sistema servidor. Cualquier código dentro del archivo rdlx del informe se ejecuta con privilegios de SYSTEM, lo que deriva en una escalada de privilegios. Se ha asignado el identificador CVE-2024-11220 para esta vulnerabilidad.

Listado de referencias