Múltiples vulnerabilidades en APROL de B&R Industrial Automation

Fecha de publicación
06/02/2023
Importancia
5 - Crítica
Recursos Afectados

APROL, versiones anteriores a R 4.2-07.

Descripción

Nataliya Tlyapova, investigadora de Positive Technologies, ha reportado 5 vulnerabilidades en APROL: 2 de severidad crítica y 3 altas, cuya explotación podría causar una denegación de servicio (DoS), ejecución de código arbitrario o dañar la integridad y confidencialidad de los datos de configuración.

Solución

El fabricante ofrece una actualización que permite al cliente restringir el acceso al componente afectado utilizando la autenticación de cliente TLS (Mutual TLS), disponible en las versiones APROL R 4.2-07 y superiores con AutoYaST V4.2-070.0.120102 y superiores.

Detalle

Las vulnerabilidades críticas se describen a continuación:

  • La falta de autenticación al crear y gestionar la base de datos APROL podría permitir cambios en la configuración del sistema. Se ha asignado el identificador CVE-2022-43761 para esta vulnerabilidad.
  • Una validación insuficiente de los parámetros de entrada al cambiar la configuración en el servidor Tbase en APROL podría provocar un desbordamiento de búfer que originase una condición de DoS o la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-43764 para esta vulnerabilidad.

Encuesta valoración

Ir arriba