Introducció
Schneider Electric[1], ha detectat 6 vulnerabilitats: 2 de severitat crítica, 3 de severitat alta i 1 de severitat mitjana. Aquestes vulnerabilitats podrien permetre a un atacant executar codi de forma remota, fer una escalada de privilegis, evitar una autenticació per accedir a l’aplicació o provocar una denegació de servei.
Anàlisi
Les vulnerabilitats de severitat crítica afecten l’APC Easy UPS Online Monitoring Software amb versió V2.5-GA i posteriors i versió V2.5-GA-01-22261 i posteriors.
CVE-2022-42970: Aquesta vulnerabilitat podria permetre a un atacant accés sense necessitat d’autenticació i interactuar amb una funcionalitat que requereix una identitat d’usuari demostrable, cosa que provocaria un gran consum de recursos.
CVE-2022-42971: L’explotació d’aquesta vulnerabilitat de severitat crítica podria permetre a un atacant carregar un fitxer JSP maliciós produint una execució remota de codi.
Recomanacions
Schneider Electric recomana als usuaris actualitzar el software a la versió 2.5-GA-01-22320 d’APC Easy UPS Online Monitoring per a les vulnerabilitats que afecten Windows 7, 10, 11, i Windows Server 2016, 2019, i 2022.
Referencies
[1] Schneider Electric Security Notification