Introducción
Quentin Kaiser de ONEKEY ha reportado, en colaboración con CERT@VDE[1] , una vulnerabilidad de severidad crítica. La explotación de esta vulnerabilidad podría permitir a un atacante provocar comportamientos no deseados en los dispositivos afectados, así como causar condiciones de denegación de servicio o comprometer el sistema de manera total.
Análisis
La vulnerabilidad crítica afecta a las versiones comprendidas entre v20 y v23 de los Compact Controller CC100, PFC100 y PFC200, así como el Edge Controller y los Touch Panel de la serie 600.
CVE-2023-1698: Esta vulnerabilidad crítica podría permitir a un atacante remoto no autenticado crear nuevos usuarios y cambiar la configuración de los dispositivos afectados. La explotación de esta vulnerabilidad podría resultar en un comportamiento no deseado, denegación de servicio y compromiso total del sistema.
Recomendaciones
WAGO recomienda actualizar los dispositivos afectados a la versión correspondiente. Para información específica sobre cada versión, consultar el aviso de CERT@VDE incluido en las referencias.
Referencias
[1] WAGO: Unauthenticated command execution via Web-based-management