Un nuevo aviso de seguridad
[Actualización 22/11/2023] Validación incorrecta de datos de entrada en Lanaccess ONSAFE MonitorHM Web Console
Fecha08/11/2023
Importancia4 - Alta
Recursos Afectados
Lanaccess ONSAFE MonitorHM, versión 3.7.0.
Descripción
INCIBE ha coordinado la publicación de 1 vulnerabilidad que afecta a Lanaccess ONSAFE MonitorHM 3.7.0, que ha sido descubierta por Petar Alexandrov Nikolov.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-6012: CVSS v3.1: 8.3 | CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:L | CWE-20.
Solución
[Actualización 22/11/2023] La vulnerabilidad ha sido resuelta en la versión 4.1.3 (2021 y posteriores). El equipo permite a un usuario administrador del sistema en modo local, configurar el sistema en modo protegido, pudiendo deshabilitar el acceso a los comandos por completo.
Detalle
- CVE-2023-6012: se ha encontrado una vulnerabilidad de validación de entrada inadecuada en Lanaccess ONSAFE MonitorHM que afecta a la versión 3.7.0. Esta vulnerabilidad podría llevar a un atacante remoto a explotar el elemento checkbox y realizar una ejecución remota de código, comprometiendo toda la infraestructura.
Limitación incorrecta de una ruta a un directorio restringido en productos de Chameleon Power
Fecha22/11/2023
Importancia4 - Alta
Recursos Afectados
- Chameleon power framework, versión 1.0.
Descripción
INCIBE ha coordinado la publicación de una vulnerabilidad que afecta al framework Chameleon Power y que ha sido descubierta por Daniel Martínez Adan (adon90), miembro de Holcim EDC.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2023-6252: CVSS v3.1: 7.5 | CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N | CWE-35.
Solución
No hay una solución reportada por el momento.
Detalle
- CVE-2023-6252: vulnerabilidad de path traversal afectando al parámetro getImage. Esta vulnerabilidad podría permitir a un usuario remoto leer archivos ubicados en el servidor y obtener acceso a información sensible, como archivos de configuración.