Permisos de ejecución incorrectos en Open Automation Software
- Open Automation Software: versiones anteriores a la V20.00.0076.
Elcazador, del Instituto de Investigación Elex Feigong de Elex CyberSecurity Inc., ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante ejecutar código con privilegios escalados.
Open Automation Software recomienda a los usuarios actualizar OAS a la versión V20.00.0076 o posterior.
Un usuario local de bajo nivel en la máquina servidor, con credenciales para los servicios OAS (Open Automation Software) en ejecución, podría crear y ejecutar un informe con un archivo rdlx en el propio sistema servidor. Cualquier código dentro del archivo rdlx del informe se ejecuta con privilegios de SYSTEM, lo que deriva en una escalada de privilegios. Se ha asignado el identificador CVE-2024-11220 para esta vulnerabilidad.