Introducció
Quentin Kaiser de ONEKEY[1] ha reportat, en col·laboració amb CERT@VDE[2], una vulnerabilitat de severitat crítica. L’explotació d’aquesta vulnerabilitat podria permetre a un atacant provocar comportaments no desitjats als dispositius afectats, així com causar condicions de denegació de servei o un compromís total del sistema.
Anàlisi
La vulnerabilitat de severitat crítica associada al producte afectat és la següent:
- CVE-2023-1698: Aquesta vulnerabilitat crítica podria permetre a un atacant remot no autenticat crear nous usuaris i canviar la configuració dels dispositius afectats. L’explotació d’aquesta vulnerabilitat podria resultar en un comportament no desitjat, denegació de servei i compromís total del sistema.
Versions firmware compreses entre la versió 20 i 23 (inclosa) dels següents productes:
- Compact Controller CC100,
- PFC100 y PFC200.
- Edge Controller,
- Touch Panel 600 Advanced Line,
- Touch Panel 600 Marine Line,
- Touch Panel 600 Standard Line.
Recomanacions
WAGO recomana actualitzar els dispositius afectats a la versió corresponent. Per a informació específica sobre cada versió, consulteu l’avís de CERT@VDE inclòs a les referències.
Referències
[1] OneKEY[2] WAGO: Unauthenticated command execution via Web-based-management UPDATE A