Instituto Nacional de ciberseguridad. Sección Incibe

Un nuevo aviso de SCI

Múltiples vulnerabilidades en Monitool de Badger Meter

Fecha07/02/2024
Importancia5 - Crítica
Recursos Afectados
  • Monitool, versión 4.6.3.
Descripción

INCIBE ha coordinado la publicación de 4 vulnerabilidades: una de severidad crítica, una de severidad alta, y dos de severidad media que afectan a Monitool de Badger Meter en su versión 4.6.3, un software para la gestión de terminales del sector del agua, las cuales han sido descubiertas por Guillermo Garcia Molina.

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2024-1301: 9.8 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H | CWE-89.
  • CVE-2024-1302: 7.3 | CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N | CWE-200.
  • CVE-2024-1303: 6.5 | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-22.
  • CVE-2024-1304: 6.3 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L | CWE-79.

Solución

Las vulnerabilidades han sido resueltas en las vertsiones 4.7 y posteriores.

Detalle
  • CVE-2024-1301: vulnerabilidad de inyección SQL en Badger Meter Monitool que afecta a las versiones 4.6.3 y anteriores. Un atacante remoto podría enviar una consulta SQL especialmente diseñada al servidor a través del parámetro j_username y recuperar la información almacenada en la base de datos.
  • CVE-2024-1302: vulnerabilidad de exposición de Información en Badger Meter Monitool que afecta a versiones hasta la 4.6.3 y anteriores. Un atacante local podría cambiar el parámetro de archivo de la aplicación a un archivo de registro obteniendo toda la información sensible como las credenciales de la base de datos.
  • CVE-2024-1303: vulnerabilidad de limitación incorrecta de la ruta a un directorio restringido en Badger Meter Monitool que afecta a versiones hasta la 4.6.3 y anteriores. Esta vulnerabilidad permite a un atacante autenticado recuperar cualquier archivo del dispositivo utilizando la funcionalidad download-file.
  • CVE-2024-1304: vulnerabilidad de cross-site scripting en Badger Meter Monitool que afecta a versiones hasta la 4.6.3 y anteriores. Esta vulnerabilidad permite a un atacante remoto enviar una carga útil javascript especialmente diseñada a un usuario autenticado y tomar parcialmente su sesión de navegador.