Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos B&R Automation

Fecha de publicación 16/04/2024
Identificador
INCIBE-2024-0191
Importancia
4 - Alta
Recursos Afectados
  • APC2100
  • APC2200
  • APC3100
  • APC4100
  • APC910
  • C80
  • MPC3100
  • PPC1200
  • PPC2100
  • PPC2200
  • PPC3100
  • PPC900
Descripción

B&R Automation ha publicado 4 vulnerabilidades: 3 de severidad alta y 1 de severidad media que podrían inutilizar los productos afectados o insertar y ejecutar código arbitrario.

Solución

B&R Automation garantiza que la funcionalidad de cambiar el logotipo de la BIOS solo es accesible para personal de confianza y que solo se utilizan imágenes JPG como logotipos.

Detalle

Las vulnerabilidades de severidad alta detectada afectan a las BIOS y su explotación podría inutilizar el producto o insertar y ejecutar código arbitrario en la fase más sensible del proceso de arranque, conocida como DXE (Driver Execution Environment). Se han asignado los identificadores CVE-2023-5058, CVE-2023-39538 y CVE-2023-39539 para estas vulnerabilidades.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2023-40238.