Dos nuevos avisos de SCI
Índice
- Vulnerabilidad de falta de autorización en Creo Elements/Direct License Server de PTC
- Vulnerabilidad de ejecución arbitraria de código en productos ABB
Vulnerabilidad de falta de autorización en Creo Elements/Direct License Server de PTC
- Creo Elements/Direct License Server: versiones 20.7.0.0 y anteriores.
Thomas Riedmaier de Siemens Energy ha reportado una vulnerabilidad, de severidad alta, cuya explotación podría permitir a atacantes remotos, no autenticados, ejecutar comandos arbitrarios en el sistema operativo.
PTC recomienda a los usuarios actualizar a Creo Elements/Direct License Server 20.7.0.1 o a una versión superior.
Creo Elements Direct License Server expone una interfaz web que podría ser utilizada por atacantes remotos, no autenticados, para ejecutar comandos arbitrarios del sistema operativo en el servidor. Se ha asignado el identificador CVE-2024-6071 para esta vulnerabilidad.
Vulnerabilidad de ejecución arbitraria de código en productos ABB
ABB protection y control IED manager PCM600 están afectadas por esta vulnerabilidad. En concreto las siguientes versiones y paquetes:
- ABB PCM600: versiones 2.11 y los hotfix anteriores a 20240426;
- ABB PCM600: versiones 2.12 y los hotfix anteriores a 20240520;
- ABB PCM600: versión 2.13.
ABB ha reportado una vulnerabilidad, de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una ejecución de código con privilegios elevados.
La vulnerabilidad se ha corregido en las siguientes versiones del producto:
- ABB PCM600: versión 2.11 y hotfix 20240426;
- ABB PCM600: versión 2.12 y hotfix 20240520;
- ABB PCM600: versión 2.13.
Vulnerabilidad en el conjunto de herramientas WiX utilizado en el empaquetado de las versiones del producto mencionadas anteriormente. Un atacante podría explotar la vulnerabilidad inyectando librerías en la carpeta temporal utilizada por el instalador de PCM600, permitiendo al atacante ejecutar código arbitrario con privilegios elevados.
Se ha asignado el identificador CVE-2024-24810 para esta vulnerabilidad.