Vulnerabilidad de ejecución de código en myPRO de mySCADA
La plataforma de gestión HMI / SCADA afectada es:
- myPRO versión 7.0.26 y anteriores.
El investigador Karn Ganeshen ha reportado una vulnerabilidad de ruta de búsqueda o elemento sin comillas en dispositivos myPRO de mySCADA. La explotación exitosa de esta vulnerabilidad podría permitir a un usuario local autenticado pero sin privilegios, ejecutar código arbitrario elevando privilegios.
mySCADA ha lanzado nuevas versiones que solucionan esta vulnerabilidad. mySCADA recomienda a los usuarios actualizar a la última versión desde la página web:
La explotación exitosa de la vulnerabilidad de ruta de búsqueda o elemento sin comillas podría permitir a un usuario local autenticado, sin privilegios, ejecutar código arbitrario con mayores privilegios. Permitiendole acceder a otros recuros en otras rutas del dispositivo.
Se ha reservado el identificador CVE-2017-12730 para esta vulnerabilidad.