Inicio / Content / Boletín de INCIBE-CERT del 06-05-2020

Boletín de INCIBE-CERT del 06-05-2020

Elemento de ruta de búsqueda no controlado en jSerialComm de Fazecast

Fecha de publicación: 
06/05/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • jSerialComm, versiones 2.2.2 y anteriores;
  • EcoStruxure IT Gateway de Schneider Electric, versiones 1.5.x, 1.6.x y 1.7.x.
Descripción: 

El investigador, Ryan Wincey, de Securifera, trabajando con ZDE de Trend Micro, ha reportado una vulnerabilidad al CISA, de severidad alta, de tipo elemento de ruta de búsqueda no controlado en Fazecast jSerialComm.

Solución: 
Detalle: 

La vulnerabilidad detectada podría permitir a un atacante remoto, no autenticado, realizar una ejecución de código arbitrario en el sistema objetivo, mediante el uso de un archivo DLL malicioso con el mismo nombre que cualquier DLL, ya existente en de la instalación de software. Se ha reservado el identificador CVE-2020-10626 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-20-126-01) Fazecast jSerialComm
Etiquetas: 
Actualización
Vulnerabilidad

Múltiples vulnerabilidades en FW-50 RTU de SAE IT-systems

Fecha de publicación: 
06/05/2020
Importancia: 
5 - Crítica
Recursos afectados: 

W-50 RTU, 5 Series, CPU-5B, Hardware Revision: 2, CPLD Revision: 6.

Descripción: 

Se ha publicado una vulnerabilidad en FW-50 Remote Telemetry Unit que podría permitir a un atacante la ejecución remota de código, la divulgación de información sensible o provocar la denegación del servicio.

Detalle: 
  • El programa no neutraliza o neutraliza incorrectamente la entrada controlable por el usuario antes de utilizarla como página web que se sirve a otros usuarios. Se ha asignado el identificador CVE-2020-10630 para esta vulnerabilidad.
  • Una solicitud especialmente diseñada podría permitir a un atacante ver la estructura de archivos del dispositivo afectado y acceder a los archivos que deberían ser inaccesibles. Se ha asignado el identificador CVE-2020-10634 para esta vulnerabilidad.

Encuesta valoración

Referencias: 
ICS Advisory (ICSA-20-126-02) SAE IT-systems FW-50 Remote Telemetry Unit (RTU)
Etiquetas: 
Actualización
Infraestructuras críticas
Vulnerabilidad