Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en NetBox de LenelS2
  • Multiples vulnerabilidades en Monitouch V-SFT de Fuji Electric
  • Escalado de privilegios en VisiWin de Inosoft

Múltiples vulnerabilidades en NetBox de LenelS2

Fecha31/05/2024
Importancia5 - Crítica
Recursos Afectados
  • Netbox: versiones anteriores a la 5.6.2.
Descripción

CISA ha publicado varias vulnerabilidades que afectan al software de control de acceso NetBox, de LenelS2, una marca de Carrier.

Solución
  • Actualizar Netbox a la versión 5.6.2 o superior.
Detalle

Noam Moshe de Claroty Team82 informó de 2 vulnerabilidades críticas y una alta que podrían permitir saltarse la autenticación y ejecutar código malicioso con privilegios elevados.

  • CVE-2024-2420: credenciales codificadas en versiones anteriores a la 5.6.1, inclusive, lo que permite a un atacante saltarse los requisitos de autenticación.
  • CVE-2024-2421: ejecución remota de código no autenticada en versiones anteriores a la 5.6.1, inclusive, que permite a un atacante ejecutar comandos maliciosos con permisos elevados.
  • CVE-2024-2422: ejecución remota de código autenticada en versiones anteriores a la 5.6.1, inclusive, que permite a un atacante ejecutar comandos maliciosos.

Multiples vulnerabilidades en Monitouch V-SFT de Fuji Electric

Fecha31/05/2024
Importancia4 - Alta
Recursos Afectados
  • Monitouch V-SFT: versiones anteriores a 6.2.3.0.
Descripción

CISA ha publicado un boletín de seguridad en donde informa de 2 nuevas vulnerabilidades altas para el software de configuración de pantallas Monitouch V-SFT de Monitouch V-SFT. Estas vulnerabilidades han sido descubiertas por kimiy colaborando con Monitouch V-SFT.

Solución
Detalle

Las vulnerabilidades, identificadas con los códigos CVE-2024-5271 y CVE-2024-34171, se originan debido a una escritura fuera de limite y a un desbordamiento de búfer, respectivamente, y ambas podrían permitir a un atacante ejecutar código arbitrario.

Escalado de privilegios en VisiWin de Inosoft

Fecha31/05/2024
Importancia4 - Alta
Recursos Afectados
  • VisiWin 7: versiones anteriores a 2024-1.
Descripción

CISA descubrió un PoC (Proof of Concept) de la autoría de Carlo Di Dato y se lo comunicó a Inosoft.

Solución
  • VisiWin 7: actualizar a la versión 2024-1.
Detalle
  • CVE-2023-31468: VisiWin crea un directorio con permisos insuficientes, lo que podría permitir a un usuario de bajo nivel añadir y modificar ciertos archivos que tienen privilegios de SISTEMA, lo que podría conducir a una escalada de privilegios.