Dos nuevos avisos de SCI

Índice

  • Vulnerabilidad de falta de autorización en Creo Elements/Direct License Server de PTC
  • Vulnerabilidad de ejecución arbitraria de código en productos ABB

Vulnerabilidad de falta de autorización en Creo Elements/Direct License Server de PTC 

 
Fecha26/06/2024
Importancia4 - Alta
Recursos Afectados
  • Creo Elements/Direct License Server: versiones 20.7.0.0 y anteriores.
Descripción

Thomas Riedmaier de Siemens Energy ha reportado una vulnerabilidad, de severidad alta, cuya explotación podría permitir a atacantes remotos, no autenticados, ejecutar comandos arbitrarios en el sistema operativo.

Solución

PTC recomienda a los usuarios actualizar a Creo Elements/Direct License Server 20.7.0.1 o a una versión superior.

Detalle

Creo Elements Direct License Server expone una interfaz web que podría ser utilizada por atacantes remotos, no autenticados, para ejecutar comandos arbitrarios del sistema operativo en el servidor. Se ha asignado el identificador CVE-2024-6071 para esta vulnerabilidad.

Vulnerabilidad de ejecución arbitraria de código en productos ABB 

 
Fecha26/06/2024
Importancia4 - Alta
Recursos Afectados

ABB protection y control IED manager PCM600 están afectadas por esta vulnerabilidad. En concreto las siguientes versiones y paquetes:

  • ABB PCM600: versiones 2.11 y los hotfix anteriores a 20240426;
  • ABB PCM600: versiones 2.12 y los hotfix anteriores a 20240520;
  • ABB PCM600: versión 2.13.
Descripción

ABB ha reportado una vulnerabilidad, de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una ejecución de código con privilegios elevados.

Solución

La vulnerabilidad se ha corregido en las siguientes versiones del producto:

  • ABB PCM600: versión 2.11 y hotfix 20240426;
  • ABB PCM600: versión 2.12 y hotfix 20240520;
  • ABB PCM600: versión 2.13.
Detalle

Vulnerabilidad en el conjunto de herramientas WiX utilizado en el empaquetado de las versiones del producto mencionadas anteriormente. Un atacante podría explotar la vulnerabilidad inyectando librerías en la carpeta temporal utilizada por el instalador de PCM600, permitiendo al atacante ejecutar código arbitrario con privilegios elevados.

Se ha asignado el identificador CVE-2024-24810 para esta vulnerabilidad.