[SCI] Múltiples vulnerabilidades en productos de Delta Electronics

Introducción

Trend Micro Zero Day Initiative[1] ha reportado, en colaboración con Kimiya, 18 vulnerabilidades tipo XSS e inyección SQL que afecta a los productos InfraSuite Device Master[2] y DIAEnergie[3] del fabricante Delta Electronics.

 

Análisis

Las vulnerabilidades críticas se han registrado con los siguientes identificadores:

CVE-2022-43774 y CVE-2022-43775: Inyección de código SQL.

CVE-2022-41778 y CVE-2022-38142: Deserialización de datos no confiables.

CVE-2022-41657 y CVE-2022-41772: Limitación incorrecta de una ruta a un directorio restringido.

CVE-2022-40202 y CVE-2022-41688: Falta de autenticación para función crítica.

 

Recomendaciones

Delta no lanzó públicamente la versión 1.9.01.002 para el producto DIAEnergie, por lo que recomienda comunicarse directamente con Delta para obtener la versión actualizada. Para el producto InfraSuite Device Master recomienda desinstalar la versión 00.00.01a y reinstalar la versión actualizada 00.00.02a.

 

Referencias

[1] Trend Micro Zero Day Initiative

[2] Delta Electronics InfraSuite Device Master

[3] Delta Electronics DIAEnergie