Múltiples vulnerabilidades en productos de Pilz GmbH & Co. KG

Fecha de publicación 06/02/2024
Importancia
5 - Crítica
Recursos Afectados
  • PIT gb RLLE y down ETH, versiones anteriores a 02.02.00.
  • PIT gb RLLE y up ETH, versiones anteriores a 02.02.00.
  • PITreader base unit (HR 01), versiones anteriores a 01.05.04.
  • PITreader base unit (HR 02), versiones anteriores a 02.02.00.
  • PITreader card unit, versiones anteriores a 02.02.00.
  • PITreader S base unit, versiones anteriores a 02.02.00.
  • PITreader S card unit, versiones anteriores a 02.02.00.
Descripción

El CERT@VDE, en coordinación con Pilz, han reportado seis vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante obtener el control total del sistema.

Solución

Pilz recomienda instalar la última versión de firmware disponible.

Detalle
  • CVE-2023-24585: vulnerabilidad de escritura fuera de los límites. Un paquete de red especialmente diseñado podría dañar la memoria.
  • CVE-2023-25181: vulnerabilidad de desbordamiento de búfer basada en montículo. Un conjunto de paquetes de red especialmente diseñado puede conducir a la ejecución de código arbitrario. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-27882: vulnerabilidad de desbordamiento de búfer basada en montículo. Un paquete de red especialmente diseñado puede conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-28391: vulnerabilidad de corrupción de memoria en la funcionalidad de análisis del encabezado del servidor HTTP de Weston Embedded uC-HTTP v3.01.01. Los paquetes de red especialmente diseñados pueden conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-28379: vulnerabilidad de corrupción de memoria en la funcionalidad de límite de forma del servidor HTTP de Weston Embedded uC-HTTP v3.01.01. Un paquete de red especialmente diseñado puede conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-31247: vulnerabilidad de corrupción de memoria en la funcionalidad de análisis del encabezado HTTP Server Host de Weston Embedded uC-HTTP v3.01.01. Un paquete de red especialmente diseñado puede provocar la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
Listado de referencias
VDE-2024-002: Pilz: Multiple products affected by uC/HTTP vulnerability
Etiquetas