Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Unified Automation

Fecha de publicación 01/06/2023
Identificador

INCIBE-2023-0204

Importancia
5 - Crítica
Recursos Afectados
  • UaGateway
  • OPC UA C++ Demo Server
Descripción

Axel '0vercl0k' y Omer Kaspi han comunicado dos vulnerabilidades, una de severidad crítica y otra de severidad alta, que podrían permitir a un atacante ejecutar código de forma remota o crear una condición de denegación de servicio.

Solución

Unified Automation ha publicado una actualización para corregir esta vulnerabilidad. Se pueden encontrar más detalles en:

Detalle

La vulnerabilidad de severidad crítica permite a atacantes remotos ejecutar código arbitrario en las instalaciones afectadas de Unified Automation UaGateway. Se requiere autenticación para explotar esta vulnerabilidad cuando el producto está en su configuración predeterminada. Se ha asignado el identificador CVE-2023-32174 para esta vulnerabilidad.

La vulnerabilidad de severidad alta permite a atacantes remotos crear una condición de denegación de servicio en las instalaciones afectadas de Unified Automation OPC UA C++ Demo Server. No se requiere autenticación para aprovechar esta vulnerabilidad.