Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Inductive Automation Ignition

Fecha de publicación 02/08/2023
Identificador

INCIBE-2023-0315

Importancia
4 - Alta
Recursos Afectados

Ignition.

Descripción

El investigador, 20urdjk, ha notificado 3 vulnerabilidades de severidad alta en el producto Ignition, del fabricante Inductive Automation, cuya explotación podría permitir la ejecución remota de código o la omisión de autenticación.

Solución

Descargar la última versión disponible de Ignition.

Detalle
  • Esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el producto afectado, debido a una falta de validación de los datos proporcionados por los usuarios. Se ha asignado el identificador CVE-2023-38121 para esta vulnerabilidad.
  • Esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario en el producto afectado, debido a una falta de cabeceras Content Security Policy adecuadas. Se ha asignado el identificador CVE-2023-38122 para esta vulnerabilidad.
  • La explotación de esta vulnerabilidad podría permitir a un atacante omitir el proceso de autenticación en el producto afectado, debido a un fallo en la configuración del servidor. Se ha asignado el identificador CVE-2023-38123 para esta vulnerabilidad.
Listado de referencias
(Pwn2Own) Inductive Automation Ignition OPC UA Quick Client Cross-Site Scripting Remote Code Execution Vulnerability
(Pwn2Own) Inductive Automation Ignition OPC UA Quick Client Permissive Cross-domain Policy Remote Code Execution Vulnerability
(Pwn2Own) Inductive Automation Ignition OPC UA Quick Client Missing Authentication for Critical Function Authentication Bypass Vulnerability
Etiquetas