Introducción
Quentin Kaiser de ONEKEY[1] ha reportado, en colaboración con CERT@VDE[2], una vulnerabilidad de severidad crítica. La explotación de esta vulnerabilidad podría permitir a un atacante provocar comportamientos no deseados en los dispositivos afectados, así como causar condiciones de denegación de servicio o un compromiso total del sistema.
Análisis
La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:
- CVE-2023-1698: Esta vulnerabilidad crítica podría permitir a un atacante remoto no autenticado crear nuevos usuarios y cambiar la configuración de los dispositivos afectados. La explotación de esta vulnerabilidad podría resultar en un comportamiento no deseado, denegación de servicio y compromiso total del sistema.
Versiones firmware comprendidas entre la versión 20 y 23 (incluida) de los siguientes productos:
- Compact Controller CC100,
- PFC100 y PFC200.
- Edge Controller,
- Touch Panel 600 Advanced Line,
- Touch Panel 600 Marine Line,
- Touch Panel 600 Standard Line.
Recomendaciones
WAGO recomienda actualizar los dispositivos afectados a la versión correspondiente. Para información específica sobre cada versión, consultar el aviso de CERT@VDE incluido en las referencias.
Referencias
[1] OneKEY[2] WAGO: Unauthenticated command execution via Web-based-management UPDATE A