Múltiples vulnerabilidades en productos ADS-TEC

Fecha de publicación 09/05/2023
Importancia
5 - Crítica
Recursos Afectados
  • IRF1000, versiones anteriores a 1.5.0;
  • IRF2000, versiones anteriores a 4.4.0;
  • IRF3000, versiones anteriores a 1.2.0.
Descripción

La empresa afectada ADS-TEC, coordinada por el CERT@VDE, ha identificado múltiples vulnerabilidades en distintos productos, concretamente 8 críticas, 9 altas y 1 media.

Solución

Actualizar el firmware a las versiones:

  • IRF1000: 1.5.0;
  • IRF2000: 4.4.0;
  • IRF3000: 1.2.0.
Detalle

Las vulnerabilidades críticas corresponden con los siguientes tipos:

  • denegación de servicio (CVE-2015-8876 y CVE-2016-7124);
  • ejecución arbitraria de código o denegación de servicio (CVE-2015-6835 y CVE-2015-4602);
  • restricción inadecuada de operaciones dentro de los límites de un búfer de memoria (CVE-2016-7411);
  • uso de memoria después de ser liberada (CVE-2016-9138);
  • lectura fuera de límites (CVE-2017-12933);
  • escritura fuera de límites (CVE-2017-8923).

Los identificadores del resto de vulnerabilidades no críticas se pueden consultar en el aviso del CERT@VDE incluido en las referencias.