CVE-2023-0956

ALT: (7,5)

CVSS3: 6,4

TEL-STER TelWin SCADA WebInterface podria permetre a un atacant remot atravessar directoris al sistema, degut a una validació incorrecta de les sol·licituds d’usuari. Un atacant podria enviar una sol·licitud URL especialment dissenyada que contingui seqüències “dot dot” (/../) per veure fitxers arbitraris al sistema.

Sistemes Afectats

• TEL-STER TelWin SCADA WebInterface 3.2
• TEL-STER TelWin SCADA WebInterface 6.1
• TEL-STER TelWin SCADA WebInterface 7.0
• TEL-STER TelWin SCADA WebInterface 7.1
• TEL-STER TelWin SCADA WebInterface 8.0
• TEL-STER TelWin SCADA WebInterface 9.0

Remediació
Actualitzeu a l’última versió de TelWin SCADA WebInterface (6.2, 7.2, 8.1, 9.1,10.0, o posterior), disponible al lloc web de TEL-STER. Per més informació, podeu consultar l’apartat de les referències.

Referències

• https://www.cisa.gov/news-events/ics-advisories/icsa-23-215-03
• https://www.tel-ster.pl/index.php/en/telwin-scada-eng/news-telwin-eng
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-0956