Tres nuevos avisos de SCI
Índice
- Múltiples vulnerabilidades en NetBox de LenelS2
- Multiples vulnerabilidades en Monitouch V-SFT de Fuji Electric
- Escalado de privilegios en VisiWin de Inosoft
Múltiples vulnerabilidades en NetBox de LenelS2
- Netbox: versiones anteriores a la 5.6.2.
CISA ha publicado varias vulnerabilidades que afectan al software de control de acceso NetBox, de LenelS2, una marca de Carrier.
- Actualizar Netbox a la versión 5.6.2 o superior.
Noam Moshe de Claroty Team82 informó de 2 vulnerabilidades críticas y una alta que podrían permitir saltarse la autenticación y ejecutar código malicioso con privilegios elevados.
- CVE-2024-2420: credenciales codificadas en versiones anteriores a la 5.6.1, inclusive, lo que permite a un atacante saltarse los requisitos de autenticación.
- CVE-2024-2421: ejecución remota de código no autenticada en versiones anteriores a la 5.6.1, inclusive, que permite a un atacante ejecutar comandos maliciosos con permisos elevados.
- CVE-2024-2422: ejecución remota de código autenticada en versiones anteriores a la 5.6.1, inclusive, que permite a un atacante ejecutar comandos maliciosos.
Multiples vulnerabilidades en Monitouch V-SFT de Fuji Electric
- Monitouch V-SFT: versiones anteriores a 6.2.3.0.
CISA ha publicado un boletín de seguridad en donde informa de 2 nuevas vulnerabilidades altas para el software de configuración de pantallas Monitouch V-SFT de Monitouch V-SFT. Estas vulnerabilidades han sido descubiertas por kimiy colaborando con Monitouch V-SFT.
- Monitouch V-SFT: actualizar a la versión 6.2.3.0 o superior.
Las vulnerabilidades, identificadas con los códigos CVE-2024-5271 y CVE-2024-34171, se originan debido a una escritura fuera de limite y a un desbordamiento de búfer, respectivamente, y ambas podrían permitir a un atacante ejecutar código arbitrario.
Escalado de privilegios en VisiWin de Inosoft
- VisiWin 7: versiones anteriores a 2024-1.
CISA descubrió un PoC (Proof of Concept) de la autoría de Carlo Di Dato y se lo comunicó a Inosoft.
- VisiWin 7: actualizar a la versión 2024-1.
- CVE-2023-31468: VisiWin crea un directorio con permisos insuficientes, lo que podría permitir a un usuario de bajo nivel añadir y modificar ciertos archivos que tienen privilegios de SISTEMA, lo que podría conducir a una escalada de privilegios.