Introducció
Floris Hendriks i Jeroen Wijenbergh, de la Universitat de Radboud, han reportat dues vulnerabilitats a Control By Web[1], una de severitat crítica i una altra de severitat mitjana que podrien permetre a un atacant injectar un JavaScript maliciós i executar codi arbitrari de forma remota, cosa que podria provocar la pèrdua d’informació confidencial.
Anàlisi
La vulnerabilitat de severitat crítica reportada té una puntuació base CVSS v3 de 9,1:
CVE-2023-23551: Aquesta vulnerabilitat podria permetre a un atacant executar codi arbitrari de manera remota, ja que aquests productes executen scripts Lua i són vulnerables a la injecció de codi.
Recomanacions
El fabricant Control By Web[2] recomana actualitzar al firmware v2.8 o posterior com més aviat millor.
Referències
[1] ICS Advisory (ICSA-23-040-01)[2] Control By Web