Se ha reportado un nuevo aviso de seguridad sobre ocho vulnerabilidades, que permitirían a un atacante realizar autenticación indebida en el dispositivo objetivo y denegación de servicio (DoS).
Las vulnerabilidades reportadas se componen de 2 (dos) de severidad “crítica”, 5 (cinco) de severidad “Alta” y 1 (una) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2022-26833 de severidad crítica, con una puntuación asignada de 9.4. Esta se debe a una falla autenticación incorrecta en la funcionalidad de la API de REST de Open Automation Software OAS Platform V16.00.0121. Una serie especialmente diseñada de solicitudes HTTP puede conducir al uso no autenticado de la API rest. Un atacante podría enviar una serie de solicitudes HTTP para desencadenar esta vulnerabilidad.
- CVE-2022-26082 de severidad crítica, con una puntuación asignada de 9.1. Esta se debe a una falla de escritura de archivos en la funcionalidad SecureTransferFiles del motor de OAS de Open Automation Software OAS Platform V16.00.0112. Una serie especialmente diseñada de solicitudes de red puede conducir a la ejecución remota de código. Esto permitiría a un atacante poder enviar una secuencia de solicitudes para desencadenar esta vulnerabilidad.
Para acceder a la lista completa de las vulnerabilidades subsanadas, acceder a este enlace.
La versión del producto afectado de Open Automation Software Platform es:
- Open Automation Software OAS Platform, versiones anteriores a 16.00.0112
Recomendamos descargar e instalar la actualización provista por el fabricante en el siguiente enlace:
Referencias: