Introducción
El investigador Michael Heinzl ha publicado en Internet 5 vulnerabilidades, todas ellas de severidad crítica.
Análisis
Todas las vulnerabilidades descubiertas son de tipo Inyección de comandos de Sistema Operativo (OS Command Injection CWE-78).[1]
El producto mySCADA myPRO tiene parámetros los cuales un usuario no autenticado podría explotar para inyectar comandos arbitrarios de Sistema Operativo.
Los CVEs asignados son: CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169 y CVE-2023-29150.
El producto afectado es:
- myPRO: versiones 8.26.0 y anteriores.
Recomendaciones
mySCADA recomienda a los usuarios actualizar a la versión 8.29.0 o superior[2].
Para más información contactar directamente con el soporte técnico de mySCADA. La empresa también ha enviado avisos de seguridad por email a todos los usuarios registrados.
Referencias
[1] ICSA-23-096-06 – mySCADA myPRO[2] Downloads – mySCADA Technologies