Ocean Data Systems’ Dream Report 2023, un software de generare și livrare de rapoarte, a fost găsit ca conținând vulnerabilități critice. Versiunile afectate includ Dream Report 2023 versiunea 23.0.17795.1010 și anterioare, precum și AVEVA Reports for Operations 2023 versiunea 23.0.17795.1010. Vulnerabilitățile identificate sunt Path Traversal (CVE-2024-6618) și Incorrect Permission Assignment for Critical Resource (CVE-2024-6619). Aceste vulnerabilități ar putea permite atacatorilor să efectueze executarea codului de la distanță, să escaladeze privilegiile și să provoace condiții de negare a serviciului.
Produse
Dream Report
Versiune: 23.0.17795.1010 și anterioare
Vendor: Ocean Data Systems
CVEs: CVE-2024-6618, CVE-2024-6619
Rapoarte AVEVA pentru operațiuni
Versiune: 23.0.17795.1010
Vendor: AVEVA
CVEs: CVE-2024-6618, CVE-2024-6619
Vulnerabilități
Limitarea improprie a unui nume de cale către un director restricționat (“Path Traversal”)
CVE: CVE-2024-6618
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.5 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-22
Descriere: În Ocean Data Systems Dream Report, o vulnerabilitate de traversare a căii ar putea permite unui atacator să efectueze execuția codului de la distanță prin injectarea unei biblioteci dynamic-link (DLL) rău intenționate.
Impact: Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator să execute cod de la distanță.
Mitigare: Ocean Data Systems recomandă utilizatorilor actualizarea la Dream Report 2023 R2: Versiunea 23.3.18952.0523.
Atribuire incorectă a permisiunilor pentru resurse critice
CVE: CVE-2024-6619
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.5 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-732
Descriere: În Ocean Data Systems Dream Report, o vulnerabilitate de permisiune incorectă ar putea permite unui atacator local neprivilegiat să își escaladeze privilegiile și ar putea cauza o negare a serviciului.
Impact: Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator local neprivilegiat să își escaladeze privilegiile și să provoace o stare de negare a serviciului.
Mitigare: Ocean Data Systems recomandă utilizatorilor actualizarea la Dream Report 2023 R2: Versiunea 23.3.18952.0523.
Concluzie
Descoperirea acestor vulnerabilități în Ocean Data Systems Dream Report 2023 subliniază importanța actualizărilor software în timp util și a măsurilor robuste de securitate cibernetică. Utilizatorii sunt sfătuiți să actualizeze la cele mai recente versiuni - Dream Report 2023 R2 și AVEVA Reports for Operations 2023 R2 - pentru a reduce riscurile potențiale. În plus, organizațiile ar trebui să pună în aplicare strategiile de securitate cibernetică recomandate, cum ar fi minimizarea expunerii la rețea, utilizarea firewall-urilor și utilizarea unor metode sigure de acces de la distanță, cum ar fi VPN-urile. Nu a fost raportată nicio exploatare publică a acestor vulnerabilități, însă măsurile proactive sunt esențiale pentru protejarea sectoarelor de infrastructură critică.
Referințe
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
