Múltiples vulnerabilidades en myPRO de mySCADA

Fecha de publicación:

06/08/2021

Importancia:

4 - Alta

Recursos afectados:

myPRO, todas las versiones anteriores a la 8.20.0.

Descripción:

El investigador, Michael Heinzl, informó al CISA de cuatro vulnerabilidades de severidad alta que podrían permitir a un atacante acceder a información sensible o subir archivos arbitrarios.

Solución:

Actualizar a la versión 8.20.0 o posterior.

Detalle:

El producto afectado no restringe el acceso de lectura no autorizado a información sensible del sistema, ni al listado de directorios. A estas vulnerabilidades se les han asignado los identificadores CVE-2021-33013 y CVE-2021-33005.
Una vulnerabilidad de subida no restringida de archivos potencialmente peligrosos y otra de limitación incorrecta de nombre de ruta a un directorio restringido (path traversal), podrían permitir a un atacante, remoto y no autentificado, subir archivos arbitrarios al sistema de archivos y a directorios. A estas vulnerabilidades se les han asignado los identificadores CVE-2021-33009 y CVE-2021-33005.

Referencias:

ICS Advisory (ICSA-21-217-03) mySCADA myPRO

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en myPRO de mySCADA

Múltiples vulnerabilidades en productos PILZ

Vulnerabilidad en productos EcoStruxure y SCADAPack de Schneider Electric

Múltiples vulnerabilidades en productos MGate y MXview de Moxa

Evasión de autenticación en controladores KT-1 de Johnson Controls

Múltiples vulnerabilidades en productos Schneider Electric