Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en RONDS EPM

Múltiples vulnerabilidades en RONDS EPM

Fecha de publicación: 
13/01/2023
Identificador: 
INCIBE-2023-0011
Importancia: 
4 - Alta
Recursos afectados: 

RONDS EPM, versión 1.19.5

Descripción: 

TsungShu Chiu, de CHT Security, ha reportado 2 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante no autorizado filtrar las credenciales de inicio de sesión, así como descargar archivos. En algunos casos, el atacante, no autorizado, podría hacer uso de las credenciales de inicio de sesión obtenidas para llevar a cabo una ejecución remota de código.

Solución: 

RONDS recomienda actualizar el producto afectado a la versión de software 1.35.21.

Detalle: 
  • RONDS EMP en su versión 1.19.5, presenta una vulnerabilidad que podría permitir a un usuario, no autorizado, obtener las credenciales de inicio de sesión, llegando, incluso en algunas circunstancias, a realizar una ejecución remota de código, haciendo uso de los mismos. Se ha asignado el identificador CVE-2022-3091 para esta vulnerabilidad.
  • RONDS EMP en su versión 1.19.5, no valida correctamente el parámetro del nombre de archivo, pudiendo permitir a un usuario, no autorizado, especificar rutas y descargar archivos. Se ha asignado el identificador CVE-2022-2893 para esta vulnerabilidad.

Encuesta valoración