[SCI] Múltiples vulnerabilitats crítiques en productes de mySCADA

Introducció

L’investigador Michael Heinzl ha publicat en Internet 5 vulnerabilitats totes elles de severitat crítica.

Anàlisi

Totes les vulnerabilitats descobertes són de tipus Injecció de comandos de Sistema Operatiu (OS Command Injection CWE-78).[1]

El producte mySCADA myPRO té paràmetres els quals un usuari no autenticat podria explotar per a injectar comandos arbitraris de Sistema Operatiu.

Els CVEs assignats són: CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169 y CVE-2023-29150.

El producte afectat és:

    • myPRO: versions 8.26.0 i anteriors.

Recomanacions

mySCADA recomana als usuaris actualitzar a la versió 8.29.0 o superior[2].

Per a més informació contactar directament amb el suport tècnica de mySCADA. L’empresa també ha enviat avisos de seguretat per email a tots els usuaris registrats.

Referències

[1] ICSA-23-096-06 – mySCADA myPRO
[2] Downloads – mySCADA Technologies