Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos de SE-elektronic GmbH

Fecha de publicación 29/01/2024
Identificador
INCIBE-2024-0046
Importancia
5 - Crítica
Recursos Afectados
  • E-DDC3.3, versiones 03.07.03 y posteriores.
Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad crítica que afectan a E-DDC3.3SE-elektronic GmbH, versiones 03.07.03 y superiores, empresa que se centra en la automatización de construcciones, las cuales han sido descubiertas por Carlos Antonini.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-1014: 6.2 | CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | CWE-400.
  • CVE-2024-1015: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-94.
Solución

No hay solución reportada por el momento. 

Detalle
  • CVE-2024-1014: vulnerabilidad de consumo descontrolado de recursos en SE-elektronic GmbH E-DDC3.3 que afecta a las versiones 03.07.03 y superiores. Un atacante podría interrumpir la disponibilidad del panel de administración enviando múltiples paquetes ICMP.
  • CVE-2024-1015: vulnerabilidad de ejecución remota de comandos en SE-elektronic GmbH E-DDC3.3 que afecta a las versiones 03.07.03 y superiores. Un atacante podría enviar diferentes comandos del sistema operativo al sistema a través de la funcionalidad de configuración web del dispositivo.
Listado de referencias