Introducció
Trend Micro Zero Day Initiative[1] ha reportat, en col·laboració amb Kimiya, 18 vulnerabilitats tipus XSS i injecció SQL que afecta els productes InfraSuite Device Master[2] i DIAEnergie[3] del fabricant Delta Electronics.
Anàlisi
Les vulnerabilitats crítiques s’han registrat amb els identificadors següents:
CVE-2022-43774 y CVE-2022-43775: Injecció de codi SQL.
CVE-2022-41778 y CVE-2022-38142: Deserialització de dades no fiables.
CVE-2022-41657 y CVE-2022-41772: Limitació incorrecta d’una ruta a un directori restringit.
CVE-2022-40202 y CVE-2022-41688: Manca d’autenticació per a funció crítica.
Recomanacions
Delta no va llançar públicament la versió 1.9.01.002 per al producte DIAEnergie, per la qual cosa recomana comunicar-se directament amb Delta per obtenir-ne la versió actualitzada. Per al producte InfraSuite Device Master recomana desinstal·lar la versió 00.00.01a i reinstal·lar la versió actualitzada 00.00.02a.
Referencies