Tres nuevos avisos de SCI
Neutralización inadecuada en productos de Red Lion
Crimson: v3.2.0053.18 o anterior.
Alexander Ratelle, de Hepburn Engineering Inc., ha informado de una vulnerabilidad de severidad alta que podría permitir a un atacante truncar las contraseñas configuradas por la herramienta de configuración Crimson, lo que podría crear credenciales más débiles de lo previsto.
Red Lion recomienda actualizar la herramienta de configuración Crimson a la versión 3.2.0063 o posterior utilizando la función de actualización automática o visitando el sitio web de Red Lion .
La vulnerabilidad de severidad alta detectada podría provocar que el dispositivo quedara en un estado vulnerable como resultado de que las credenciales se vean comprometidas más fácilmente. Lo que permitiría a un atacante crear credencias más débiles de lo previsto.
Se ha asignado el identificador CVE-2023-5719 para esta vulnerabilidad.
Hash de contraseña insuficiente en TS-550 de Franklin
TS-550: todas las versiones anteriores a 1.9.23.8960.
Franklin Fueling Systems ha publicado una vulnerabilidad de severidad alta que podría permitir que un atacante acceda al dispositivo y obtenga acceso no autenticado.
Actualizar a la versión TS-550 v1.9.23.8960.
La vulnerabilidad detectada podría provocar que un atacante descifre las credenciales de administrador, lo que podría dar como resultado un acceso no autenticado al dispositivo.
Se ha asignado el identificador CVE-2023-5846 para esta vulnerabilidad.
Uso de credenciales codificadas en EasyBuilder Pro de Weintek
EasyBuilder Pro, versiones:
- anteriores a la v6.07.02;
- 6.08.01.592 y anteriores;
- 6.08.02.470 y anteriores.
Hank Chen (PSIRT y Threat Research de TXOne Networks) ha informado de una vulnerabilidad de severidad crítica que podría permitir a un atacante obtener control remoto de la computadora de una víctima como usuario privilegiado.
Weintek recomienda a los usuarios actualizar a las siguientes versiones:
La vulnerabilidad de severidad crítica detectada deja expuesta la clave privada al público, lo que podría dar lugar a la obtención de control remoto del servidor de informes de fallos.
Se ha asignado el identificador CVE-2023-5777 para esta vulnerabilidad.