Introducción
Trend Micro Zero Day Initiative[1] ha reportado, en colaboración con Kimiya, 18 vulnerabilidades tipo XSS e inyección SQL que afecta a los productos InfraSuite Device Master[2] y DIAEnergie[3] del fabricante Delta Electronics.
Análisis
Las vulnerabilidades críticas se han registrado con los siguientes identificadores:
CVE-2022-43774 y CVE-2022-43775: Inyección de código SQL.
CVE-2022-41778 y CVE-2022-38142: Deserialización de datos no confiables.
CVE-2022-41657 y CVE-2022-41772: Limitación incorrecta de una ruta a un directorio restringido.
CVE-2022-40202 y CVE-2022-41688: Falta de autenticación para función crítica.
Recomendaciones
Delta no lanzó públicamente la versión 1.9.01.002 para el producto DIAEnergie, por lo que recomienda comunicarse directamente con Delta para obtener la versión actualizada. Para el producto InfraSuite Device Master recomienda desinstalar la versión 00.00.01a y reinstalar la versión actualizada 00.00.02a.
Referencias