Ahmed Alroky y Superzerosec han reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante la ejecución de código de forma remota.[1]
Análisis
La vulnerabilidad de severidad critica asociada al producto afectado es la siguiente:
-
- CVE-2023-28343: Inyección de comandos del sistema operativo(CWE-78):
La inyección de comandos del sistema operativo afecta al software Altenergy Power Control C1.2.5 a través de metacaracteres de shell en el parámetro timezone de index.php/management/set_timezone, debido a set_timezone en models/management_model.php
Recomendaciones
Por el momento, APSystems no ha proporcionado medidas de mitigación para esta vulnerabilidad. CISA recomienda a los usuarios afectados contactar con APSystems para solicitar información adicional.
Referencias
[1] APSystems Altenergy Power Control