Múltiples vulnerabilidades en productos WAGO
Fecha de publicación 01/08/2023
Importancia
4 - Alta
Recursos Afectados
- WAGO WLAN ETHERNET Gateway, todas las versiones.
- Versiones de firmware 25 y anteriores de los productos:
- Compact Controller 100,
- EC 300,
- PFC100,
- PFC200,
- TP 600.
Descripción
El fabricante WAGO, en coordinación con el CERT@VDE, ha publicado 17 vulnerabilidades que afectan a varios productos, 14 de severidad alta y 3 medias.
Solución
- Para la vulnerabilidad CVE-2022-25836, no está planeado publicar una actualización de firmware para solucionarlo, únicamente se puede deshabilitar Bluetooth LE en caso de no estar en uso.
- Para el resto de vulnerabilidades, la actualización de firmware está planeada para el primer trimestre de 2024. Hasta entonces, se recomienda aplicar las medidas descritas en el apartado 'Mitigation' del aviso VDE-2023-026.
Detalle
Los tipos de vulnerabilidades se listan a continuación:
- omisión de autenticación (CVE-2022-25836);
- escritura fuera de los límites del búfer (CVE-2022-47390, CVE-2022-47379, CVE-2022-47380, CVE-2022-47381, CVE-2022-47382, CVE-2022-47383, CVE-2022-47384, CVE-2022-47385, CVE-2022-47386, CVE-2022-47387, CVE-2022-47388 y CVE-2022-47389);
- validación incorrecta de datos de entrada (CVE-2022-47391, CVE-2022-47392 y CVE-2022-47378);
- restricción incorrecta de operaciones dentro del búfer (CVE-2022-47393).
Listado de referencias