Inicio / Content / Boletín de INCIBE-CERT del 12-05-2022

Boletín de INCIBE-CERT del 12-05-2022

Múltiples vulnerabilidades en productos Phoenix Contact

Fecha de publicación: 
12/05/2022
Importancia: 
5 - Crítica
Recursos afectados: 

Todas las versiones de los siguientes productos de Phoenix Contact:

  • RAD-ISM-900-EN-BD,
  • RAD-ISM-900-EN-BD/B,
  • RAD-ISM-900-EN-BD-BUS.
Descripción: 

Logan Carpenter, de DRAGOS, en coordinación con el CERT@VDE, ha reportado 2 vulnerabilidades críticas que podrían permitir a un atacante ejecutar comandos arbitrarios o subir archivos arbitrarios al dispositivo, con privilegios de root.

Solución: 

La familia RAD-ISM-900-EN-BD se encuentra al final de su vida útil y ningún producto recibirá actualizaciones.

Puede consultar e implementar algunas medidas de mitigación.

Detalle: 
  • La validación inadecuada de la entrada podría permitir a un atacante administrador utilizar la utilidad traceroute integrada en la WebUI para ejecutar código arbitrario con privilegios de root en el sistema operativo. Se ha asignado el identificador CVE-2022-29897 para esta vulnerabilidad.
  • La validación inadecuada en las comprobaciones de los valores de integridad podría permitir a un atacante administrador ejecutar código arbitrario con privilegios de root en el sistema operativo, utilizando el cargador de archivos de configuración en la WebUI. Se ha asignado el identificador CVE-2022-29898 para esta vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en productos Mitsubishi Electric

Fecha de publicación: 
12/05/2022
Importancia: 
5 - Crítica
Recursos afectados: 

MELSOFT iQ AppPorta, módulo SW1DND-IQAPL-M, versiones desde 1.00A hasta 1.26C.

Descripción: 

Se han identificado 8 vulnerabilidades, 5 de severidad crítica, 2 altas y 1 media, que podrían permitir a un atacante revelar o manipular información con el producto, provocar condiciones de denegación de servicio (DoS) o ejecutar programas maliciosos.

Solución: 

Actualizar a la versión 1.29F o posteriores.

Detalle: 

Los tipos de vulnerabilidades críticas son:

  • escritura fuera de límites (CVE-2021-26691, CVE-2021-44790 y CVE-2022-23943);
  • desbordamiento de búfer (CVE-2021-3711);
  • tráfico no autorizado de solicitudes HTTP (CVE-2022-22720).

Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2021-34798, CVE-2022-0778 y CVE-2020-13938.

Encuesta valoración