Múltiples vulnerabilidades en WIBU-SYSTEMS CodeMeter Runtime de Wago
- Todos los paquetes de instalación del software de ingeniería WAGO e!COCKPIT, versiones V1.11.2.0 y anteriores.
- Instalación del software de ingeniería WAGO-I/O-Pro (CODESYS 2.3), desde la versión 2.3.9.45 hasta la 2.3.9.70.
CERT@VDE ha coordinado con WAGO 2 vulnerabilidades de severidad crítica que podrían realizar una escritura fuera de los límites o una información insuficiente.
Se recomienda deshabilitar el uso del proxy SOCKS5. Para obtener más detalles sobre la mitigación de riesgos y el impacto de esta vulnerabilidad, consulte los avisos de seguridad de productos oficiales de WIBU-SYSTEMS WIBU-231024-01 y WIBU-231017-01 en el sitio web https://www.wibu.com/support/security-advisories.html.
Hasta que haya una actualización disponible para e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3), se recomienda actualizar WIBU-SYSTEMS Codemeter a la última versión independiente disponible de WIBU-SYSTEMS Codemeter.
La vulnerabilidad CVE-2023-38545 de tipo escritura fuera de los límites podría obtener un valor incorrecto durante un protocolo de enlace SOCKS5 lento y copiar el nombre del host demasiado largo al búfer de destino en lugar de copiar solo la dirección resuelta. El búfer de destino es un búfer basado en montón y el nombre de host proviene de la URL con la que se le ha dicho a curl que opere.
La vulnerabilidad CVE-2023-24540 de tipo información insuficiente provoca un fallo en las plantillas que contienen espacios en blanco fuera del conjunto de caracteres '\t\n\f\r\u0020\u2028\u2029' en contextos JavaScript, que también contienen acciones y no se desinfectan adecuadamente durante la ejecución.
