Home / Node / Boletín de INCIBE-CERT del 12-02-2020

Boletín de INCIBE-CERT del 12-02-2020

Ruta de búsqueda no controlada en ProSoft Configurator de Schneider Electric

Publication date: 
02/12/2020
Importance: 
4 - Alta
Affected resources: 

ProSoft Configurator v1.002 y anteriores, para el módulo PMEPXM0100 (H).

Description: 

El investigador Yongjun Liu (nsfocus) ha descubierto una vulnerabilidad de tipo ruta de búsqueda no controlada que afecta a ProSoft Configurator, que podría permitir a un atacante local ejecutar código arbitrario.

Solution: 

Actualizar ProSoft Configurator a la versión v1.003 o posterior.

Detail: 

Una vulnerabilidad de elemento de ruta (path) de búsqueda no controlada podría permitir a un atacante local la ejecución de código arbitrario al abrir un proyecto que podría ejecutar una DLL maliciosa. Se ha reservado el identificador CVE-2020-7474 para dicha vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en ConnectPort LTS 32 MEI de Digi International

Publication date: 
02/12/2020
Importance: 
2 - Baja
Affected resources: 

ConnectPort LTS 32 MEI, versión del firmware 1.4.3 (82002228_K 08/09/2018) y versión de bios 1.2.

Description: 

Los investigadores, Murat Aydemir y Fatih Kayran, han reportado varias vulnerabilidades en el producto ConnectPort LTS 32 MEI de Digi International que podrían permitir a un atacante limitar la disponibilidad del sistema.

Solution: 

Actualizar a la versión 1.4.5.

Detail: 
  • La subida sin restricciones de ficheros podría permitir a un atacante introducir código malicioso dentro de la aplicación. Se ha asignado el identificador CVE-2020-6975 para esta vulnerabilidad.
  • La neutralización incorrecta de la entrada durante la generación de la página web podría permitir a un atacante causar una condición de denegación de servicio mediante ataques del tipo cross-site scripting. Se ha asignado el identificador CVE-2020-6973 para esta vulnerabilidad.

Encuesta valoración