Múltiples vulnerabilidades en productos TRUMPF

Fecha de publicación 29/01/2024
Importancia
5 - Crítica
Recursos Afectados

MonitoringAnalyzer, versiones 1.0 <= 1.3;
Oseon, versiones 1.0.0 <= 3.0.24;
ProgrammingTube, versiones 1.0.1 <= 4.11.0;
TecZoneBend, versiones 18.02.R8 <= 23.11;
Tops Unfold, versión 05.03.00.00;
TrumpfLicenseExpert, versiones 1.5.2 <= 2.0.0;
TruTops, versiones 08.00 <= 12.01.00.00;
TruTopsBoost, versiones 06.00.23.00 <= 16.0.24;
TruTopsCalculate, versiones 14.00 <= 23.00.00;
TruTops Cell Classic, versiones <= 09.09.02;
TruTops Cell SW48, versiones 01.00 <= 02.32.12;
TruTopsFab (inkl.TruTops Monitor), versiones 15.00.23.00 <= 22.8.25;
TruTopsFab Storage SmallStore, versiones 14.06.20 <= 20.04.20.00;
TruTops Mark 3D, versiones 01.00 <= 06.2;
TruTopsPrint, versiones 00.06.00 <= 01.00;
TruTopsPrintMultilaserAssistant, versiones <= 01.02;
TruTopsWeld, versiones 7.0.198.241 <= 9.0.28148.1;
TubeDesign, versiones 08.00 <= 14.11.199.

Descripción

TRUMPF, en coordinación con el CERT@VDE, han informado de 2 vulnerabilidades de severidad crítica que afectan a varios productos del fabricante que hacen uso de la aplicación CodeMeter Runtime de WIBU-SYSTEMS. La explotación de estas vulnerabilidades podría permitir a un atacante obtener acceso completo al servidor o estación de trabajo afectados.

Solución

Actualizar el software TRUMPF License Expert a las versiones 2.1.0 o posteriores.

Detalle
  • Esta vulnerabilidad provoca un desbordamiento de búfer en el handshake del proxy SOCKS5, en el que la variable local empleada para permitir al host resolver el nombre podría obtener el valor incorrecto durante un handshake SOCKS5 lento y copiar el nombre de host demasiado largo al búfer de destino. Se ha asignado el identificador CVE-2023-38545 para esta vulnerabilidad.
  • No todos los caracteres de espacio en blanco válidos de JavaScript se consideran espacios en blanco. Es posible que las templates que contengan caracteres de espacio en blanco fuera del conjunto de caracteres "\t\n\f\r\u0020\u2028\u2029", en contextos JavaScript que también contengan acciones, no se saniticen correctamente durante la ejecución. Se ha asignado el identificador CVE-2023-24540 para esta vulnerabilidad.
Listado de referencias
VDE-2024-001 - TRUMPF: Multiple products contain WIBU CodeMeter vulnerabilities
Etiquetas