ICS-CERT informuje o nowych podatnościach w produktach firmy Delta Electronics. (P23-015)

cert.pse-online.pl 1 rok temu
ProduktInfraSuite Device Master – wersja 00.00.01a I wcześniejsze
Numer CVECVE-2022-41778
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisDelta Electronics InfraSuite Device Master wersje 00.00.01a i wcześniejsze deserializują dane dostarczane przez użytkownika przez port serwisowy Device-DataCollect bez odpowiedniej weryfikacji. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty w celu wykonania dowolnego kodu po deserializacji.
Numer CVECVE-2022-38142
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisDelta Electronics InfraSuite Device Master, wersje 00.00.01a i wcześniejsze, deserializują dane dostarczone przez użytkownika przez port serwisowy Device-Gateway bez odpowiedniej weryfikacji. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty w celu wykonania dowolnego kodu po deserializacji.
Numer CVECVE-2022-41779
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisDelta Electronics InfraSuite Device Master, wersje 00.00.01a i wcześniejsze, deserializują pakiety sieciowe bez odpowiedniej weryfikacji. jeżeli urządzenie połączy się z serwerem kontrolowanym przez atakującego, osoba atakująca może wysłać złośliwie spreparowane pakiety, które zostaną zdeserializowane i wykonane, co prowadzi do zdalnego wykonania kodu.
Numer CVECVE-2022-41657
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisDelta Electronics InfraSuite Device Master Wersje 00.00.01a i wcześniejsze umożliwiają atakującemu dane już zserializowane w pamięci do wykorzystania w programowalnych interfejsach aplikacji (API) do obsługi plików. Mogłoby to tworzyć dowolne pliki, które mogłyby zostać użyte w operacjach API i ostatecznie doprowadzić do zdalnego wykonania kodu.
Numer CVECVE-2022-41772
Krytyczność9.8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisDelta Electronics InfraSuite Device Master Wersje 00.00.01a i wcześniejsze niewłaściwie obsługiwały archiwa .ZIP zawierające znaki używane w przemierzaniu ścieżki. To przechodzenie ścieżki może spowodować zdalne wykonanie kodu.
Numer CVECVE-2022-40202
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisFunkcja kopii zapasowej bazy danych w Delta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie ma odpowiedniego uwierzytelnienia. Osoba atakująca może dostarczyć złośliwe zserializowane obiekty, które w przypadku deserializacji mogą aktywować kod operacji dla funkcji planowania tworzenia kopii zapasowych bez uwierzytelniania. Ta funkcja umożliwia użytkownikowi wyznaczenie wszystkich argumentów funkcji i pliku do wykonania. Może to umożliwić atakującemu rozpoczęcie dowolnego nowego procesu i zdalne wykonanie kodu.
Numer CVECVE-2022-41688
Krytyczność9,8/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisDelta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie posiada odpowiedniego uwierzytelnienia dla funkcji tworzących i modyfikujących grupy użytkowników. Osoba atakująca może dostarczyć złośliwe obiekty serializowane, które mogą uruchamiać te funkcje bez uwierzytelniania, aby utworzyć nowego użytkownika i dodać go do grupy administratorów.
Numer CVECVE-2022-41644
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
OpisDelta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych nie posiada uwierzytelnienia dla funkcji zmieniającej uprawnienia grupy. Osoba atakująca może to wykorzystać do utworzenia stanu odmowy usługi lub eskalacji własnych uprawnień.
Numer CVECVE-2022-41776
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
OpisDelta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych umożliwia nieuwierzytelnionym użytkownikom wyzwolenie metody WriteConfiguration, co może umożliwić atakującemu dostarczenie nowych wartości dla plików konfiguracyjnych użytkownika, takich jak UserListInfo.xml. Może to prowadzić do zmiany haseł administracyjnych.
Numer CVECVE-2022-41629
Krytyczność7,5/10
CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
OpisDelta Electronics InfraSuite Device Master w wersjach 00.00.01a i wcześniejszych umożliwia nieuwierzytelnionym użytkownikom dostęp do punktu końcowego oczyszczania, co może umożliwić osobie atakującej pobranie dowolnego pliku z katalogu „RunningConfigs”. Atakujący mógłby następnie przeglądać i modyfikować pliki konfiguracyjne, takie jak UserListInfo.xml, co pozwoliłoby mu zobaczyć istniejące hasła administracyjne.
AktualizacjaTAK
Linkhttps://www.cisa.gov/uscert/ics/advisories/icsa-22-298-07
ProduktDIAEnergie wersje przed v1.9.01.002
Numer CVECVE-2022-41701
Krytyczność8,7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisProdukt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API PutShift.
Numer CVECVE-2022-40965
Krytyczność8,7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisProdukt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API PostEnergyType.
Numer CVECVE-2022-41555
Krytyczność8,7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisProdukt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API PutLineMessageSetting.
Numer CVECVE-2022-41702
Krytyczność8,7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisProdukt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API InsertReg.
Numer CVECVE-2022-41651
Krytyczność8,7/10
CVSSAV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N
OpisProdukt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na lukę w przechowywanych skryptach międzylokacyjnych za pośrednictwem interfejsu API SetPF.
Numer CVECVE-2022-40965
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisProdukt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na iniekcję SQL, która istnieje w CheckIoTHubNameExisted. Uwierzytelniony atakujący o niskich uprawnieniach może wykorzystać ten problem do wstrzykiwania dowolnych zapytań SQL.
Numer CVECVE-2022-41133
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisProdukt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na iniekcję SQL, która istnieje w GetDIAE_line_message_settingsListParameters. Uwierzytelniony atakujący o niskich uprawnieniach może wykorzystać ten problem do wstrzykiwania dowolnych zapytań SQL.
Numer CVECVE-2022-41773
Krytyczność8,8/10
CVSSAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
OpisProdukt, którego dotyczy problem, DIAEnergie (wersje wcześniejsze niż 1.9.01.002), jest podatny na wstrzyknięcie SQL, które istnieje w CheckDIACloud. Uwierzytelniony atakujący o niskich uprawnieniach może wykorzystać ten problem do wstrzykiwania dowolnych zapytań SQL.
AktualizacjaTAK
Linkhttps://www.cisa.gov/uscert/ics/advisories/icsa-22-298-06
Idź do oryginalnego materiału