Hainbat ahultasun Delta Electronics-en DIAEnergie-n

Kaltetutako baliabideak:

DIAEnergie: 1.8.02.004 bertsioaren aurreko guztiak.

Azalpena:

Trend Micro-ko ZDI-ko Michael Heinzl eta Dusan Stevanovic ikertzaileek 17 ahultasunen berri eman diote CISAri: 16 larritasun kritikokoak eta 1 altukoa. Horiek baliatuz erasotzaile batek fitxategi arbitrarioak idatz litzake fitxategien sistemaren kokapenetan, fitxategi berriak sortu (DLL modura), existitzen diren fitxategi exekutagarriak ordezkatu edo SQL kontsulta arbitrarioak injektatu.

Konponbidea:

Delta Electronics-ek 1.08.02.004 bertsioan jakinarazitako ahultasunak zuzendu ditu. Erabiltzaileak Delta-ren arreta zerbitzuarekin edo konpainiako ordezkari batekin harremanetan jarri behar dira bertsio hau eskuratzeko, ez baita publiko egingo. Delta-k lanean dihardu zuzenketa horiek eta beste ezaugarri batzuk izango dituen bertsio publiko bat prestatzeko, 2022ko ekainaren 30ean argitaratuko dena.

Xehetasuna:

Kaltetutako produktua ahula da path transversal erako erasoen aurrean. Larritasun kritikoko ahultasun honetarako CVE-2022-25347 identifikatzailea erabili da.
Lehenetsitako baimen oker bat DIAEnergie aplikazioan. Larritasun altuko ahultasun horretarako CVE-2022-26839 identifikatzailea erabili da.
SQL injekzio erako ahultasunak daude honako hauetan: HandlerCommon.ashx, HandlerPage_KID.ashx, GetCalcTagList, DIAE_hierarchyHandler.ashx, GetQueryData, GetLatestDemandNode, GetDemandAnalysisData, DIAE_dmdsetHandler.ashx, HandlerExport.ashx/Calendar, HandlerDialog_KID.ashx, HandlerDialogECC.ashx, DIAE_HandlerTag_KID.ashx, DIAE_eccoefficientHandler.ashx, DIAE_hierarchyHandler.ashx eta DIAE_tagHandler.ashx. Larritasun kritikoko ahultasun hauetarako honako identifikatzaileak esleitu dira CVE-2022-25980, CVE-2022-26069, CVE-2022-27175, CVE-2022-26338, CVE-2022-26059, CVE-2022-26065, CVE-2022-26013, CVE-2022-26836, CVE-2022-0923, CVE-2022-26666, CVE-2022-26887, CVE-2022-26349, CVE-2022-25880, CVE-2022-26514 eta CVE-2022-26667.

Gertakarien berri ematea