Vulnerabilidad de inyección de código en productos de GE Digital

Fecha de publicación:

15/03/2023

Identificador:

INCIBE-2023-0094

Importancia:

4 - Alta

Recursos afectados:

GE Digital Proficy iFIX 2022
GE Digital Proficy iFIX v6.1
GE Digital Proficy iFIX v6.5

Descripción:

Michael Heinzl ha reportado una vulnerabilidad de severidad alta, que podría permitir a un atacante escalar privilegios y tomar el control total del sistema.

Solución:

GE Digital recomienda a los usuarios afectados actualizar a la versión de Proficy iFIX 2023.

Detalle:

Los dispositivos listados son vulnerables a inyección de código, lo que podría permitir a un atacante insertar archivos de configuración maliciosos en la ruta de ejecución del servidor web, así como tomar el control total del software del HMI. Se ha asignado el identificador CVE-2023-0598 para esta vulnerabilidad.

Referencias:

ICSA-23-073-03 - GE iFIX

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de inyección de código en productos de GE Digital

Protección de credenciales insuficiente en KVMS Pro de CP Plus

Múltiples vulnerabilidades en productos de estaciones de automatización de edificios de SAUTER

Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump

Múltiples vulnerabilidades en LANTIME de Meinberg

Asignación de permisos incorrectos en RoboDK