Vulnerabilidad de permisos por defecto incorrectos en productos Lenze SE
- VisiWinNET Smart, versiones inferiores a la 1.6.0;
- VisiWinNET Professional, todas las versiones;
- EASY UI Designer, todas las versiones.
Lenze, en coordinación con el CERT@VDE, ha reportado una vulnerabilidad de severidad alta, cuya explotación podría llevar a una escalada de privilegios.
Lenze ha publicado la versión 1.6.1 de la herramienta EASY UI Designer, que corrige la vulnerabilidad de seguridad identificada. Las otras dos herramientas ya no se recomiendan para nuevas aplicaciones y se están preparando para su descatalogación.
Se ha descubierto un problema en Inosoft VisiWin 7 hasta 2022-2.1 (Runtime RT7.3 RC3 20221209.5). La carpeta "«%PROGRAMFILES(X86)%\INOSOFT GmbH»" tiene permisos débiles, lo que podría permitir a un atacante insertar un archivo malicioso para ser ejecutado con permisos superiores a los permitidos, lo que podría llevar a un compromiso total del sistema.
Se ha asignado el identificador CVE-2023-31468 para esta vulnerabilidad.
