CVE-2022-23450
CVE-2022-23450
En resumen
Una falla en SIMATIC Energy Manager permite que atacantes envíen archivos especialmente diseñados que engañan al software para ejecutar código malicioso con privilegios totales del sistema, sin necesidad de contraseña.
Detalle técnico
La vulnerabilidad resulta de la deserialización insegura (CWE-502) de objetos serializados no confiables. Un atacante remoto sin autenticación puede elaborar y transmitir un payload serializado malicioso para disparar la ejecución de código arbitrario con privilegios de SYSTEM en las versiones afectadas anteriores a V7.3 Update 1.
Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability has been identified in SIMATIC Energy Manager Basic (All versions < V7.3 Update 1), SIMATIC Energy Manager PRO (All versions < V7.3 Update 1). The affected system allows remote users to send maliciously crafted objects. Due to insecure deserialization of user-supplied content by the affected software, an unauthenticated attacker could exploit this vulnerability by sending a maliciously crafted serialized object. This could allow the attacker to execute arbitrary code on the device with SYSTEM privileges.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →