Escritura fuera de los límites en WIBU Codemeter de Festo
Fecha de publicación 28/11/2023
Identificador
INCIBE-2023-0523
Importancia
5 - Crítica
Recursos Afectados
- CIROS 6 Studio / Education, desde la v6.0.0 hasta la v6.4.6 (incluida).
- CIROS 7 Studio / Education, desde la v7.0.0 hasta la v7.1.7 (incluida).
- Energy-PC, todas las versiones.
- Festo Automation Suite, v2.6.0.481 y anteriores.
- FluidDraw 365, v7.0a y anteriores.
- FluidDraw P6, v6,2k y anteriores.
- FluidSIM, v5.x
- FluidSIM, desde la v6 hasta la 6.1c (incluida).
- MES4, v3 y anteriores.
- MES-PC, versiones anteriores a diciembre 2023.
Descripción
CERT@VDE, en coordinación con Festo, ha publicado una vulnerabilidad de severidad crítica de desbordamiento del búfer de montón, que podría permitir que un atacante remoto no autenticado alcance RCE y obtenga acceso completo al sistema host.
Solución
- Festo Automation Suite tiene previsto publicar una solución para mediados de 2024.
- Para el resto de productos afectados, actualizar Codemeter a la versión 7.60c o posterior.
Detalle
La vulnerabilidad de severidad crítica descubierta en Wibu CodeMeter Runtime forma parte de los paquetes de instalación de varios productos de Festo. Esto podría conducir a la ejecución remota de código y a una escalada de privilegios que otorgan acceso completo de administrador al sistema host.
Se ha asignado el identificador CVE-2023-3935 para esta vulnerabilidad.
Listado de referencias