Introducció
L’investigador Michael Heinzl ha publicat en Internet 5 vulnerabilitats totes elles de severitat crítica.
Anàlisi
Totes les vulnerabilitats descobertes són de tipus Injecció de comandos de Sistema Operatiu (OS Command Injection CWE-78).[1]
El producte mySCADA myPRO té paràmetres els quals un usuari no autenticat podria explotar per a injectar comandos arbitraris de Sistema Operatiu.
Els CVEs assignats són: CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169 y CVE-2023-29150.
El producte afectat és:
- myPRO: versions 8.26.0 i anteriors.
Recomanacions
mySCADA recomana als usuaris actualitzar a la versió 8.29.0 o superior[2].
Per a més informació contactar directament amb el suport tècnica de mySCADA. L’empresa també ha enviat avisos de seguretat per email a tots els usuaris registrats.
Referències
[1] ICSA-23-096-06 – mySCADA myPRO[2] Downloads – mySCADA Technologies