Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Tres nuevos avisos de SCI

Índice

  • Múltiples vulnerabilidades en TEM Opera Plus FM Family Transmitter
  • Múltiples vulnerabilidades en PowerSYSTEM Center de Subnet Solutions
  • Múltiples vulnerabilidades en Delta Electronics DIAEnergie

Múltiples vulnerabilidades en TEM Opera Plus FM Family Transmitter

Fecha04/10/2024
Importancia5 - Crítica
Recursos Afectados

Opera Plus FM Family Transmitter, versión 35.45.

Descripción

El investigador Gjoko Krstic ha reportado al fabricante TEM 2 vulnerabilidades que afectan a su producto Opera Plus FM Family Transmitter, de severidades crítica y alta respectivamente, y cuya explotación podría permitir a un atacante remoto ejecutar código.

Solución

TEM no ha respondido a las peticiones de colaboración de CISA para solucionar estas vulnerabilidades. Se recomienda a los usuarios de los productos afectados que se pongan en contacto con el fabricante para obtener información adicional.

CISA recomienda a los usuarios aplicar medidas defensivas y de protección descritas en el apartado Mitigations de las referencias.

Detalle

El transmisor de la familia TEM Opera Plus FM permite el acceso a un endpoint desprotegido que posibilita la carga de imágenes binarias del sistema de archivos MPFS sin autenticación. La vulnerabilidad crítica podría explotarse en esta feature para sobrescribir la memoria flash de programa que contiene las interfaces del servidor web y, de esta manera, ejecutar código arbitrario. Se ha asignado el identificador CVE-2024-41988 para esta vulnerabilidad.

La vulnerabilidad de severidad alta tiene asignada el identificador CVE-2024-41987.

Múltiples vulnerabilidades en PowerSYSTEM Center de Subnet Solutions

Fecha04/10/2024
Importancia4 - Alta
Recursos Afectados

PowerSYSTEM Center: PSC 2020 versiones 5.21.x y anteriores.

Descripción

CISA ha publicado tres vulnerabilidades, una de ellas alta y las otras dos medias. La explotación exitosa de estas vulnerabilidades podría provocar que un atacante omita la navegación a través del proxy, genere una condición de denegación de servicio (DoS) o visualice información confidencial.

Las vulnerabilidades fueron reportadas por Subnet Solutions.

Solución

Actualizar PowerSYSTEM Center PSC 2020 a la versión 5.22.x.

Detalle

PowerSYSTEM Center, emplea Axios que utiliza expresiones regulares con una complejidad computacional ineficaz, lo que consume ciclos de CPU excesivos. Un atacante podría crear entradas manipuladas que provoquen que la expresión regular utilice un backtracking excesivo, de forma que se dispare el consumo de CPU. Se ha asignado el identificador CVE-2021-3749 para esta vulnerabilidad.

Las vulnerabilidades medias tienen asignadas los identificadores CVE-2020-28168 y CVE-2023-45857 que pueden consultarse en las referencias.

Múltiples vulnerabilidades en Delta Electronics DIAEnergie

Fecha04/10/2024
Importancia5 - Crítica
Recursos Afectados

DIAEnergie, versiones 1.10.01.008 y anteriores.

Descripción

El investigador, Michael Heinzl, ha reportado 2 vulnerabilidades de tipo SQLi, una de severidad crítica y otra alta, cuya explotación podría permitir a un atacante recuperar información de registros o causar una condición de denegación de servicio (DoS).

Solución

Actualizar DIAEnergie a la versión 1.10.01.009.

Detalle

Delta Electronics DIAEnergie es vulnerable a una inyección SQL en el script AM_RegReport.aspx. Un atacante, no autenticado, podría explotar esta vulnerabilidad crítica para obtener registros contenidos en DIAEnergie. Se ha asignado el identificador CVE-2024-43699 para esta vulnerabilidad.

La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2024-42417.