Introducción
Floris Hendriks y Jeroen Wijenbergh, de la Universidad de Radboud, han reportado dos vulnerabilidades a Control By Web[1] una de severidad crítica y otra de severidad media que podrían permitir a un atacante inyectar un JavaScript malicioso y ejecutar código arbitrario de forma remota, lo que podría provocar la pérdida de información confidencial.
Análisis
La vulnerabilidad de severidad crítica reportada tiene una puntuación base CVSS v3 de 9,1:
CVE-2023-23551: Esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario de forma remota, ya que estos productos ejecutan scripts Lua y son vulnerables a la inyección de código.
Recomendaciones
El fabricante Control By Web[2] recomienda actualizar al firmware v2.8 o posterior lo antes posible.
Referencias
[1] ICS Advisory (ICSA-23-040-01)[2] Control By Web