Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en WP 6xxx Web de Phoenix Contact

Fecha de publicación 09/08/2023
Identificador

INCIBE-2023-0330

Importancia
5 - Crítica
Recursos Afectados
  • WP 6070-WVPS anteriores a 4.0.10;
  • WP 6101-WXPS anteriores a 4.0.10;
  • WP 6121-WXPS anteriores a 4.0.10;
  • WP 6156-WHPS anteriores a 4.0.10;
  • WP 6185-WHPS anteriores a 4.0.10;
  • WP 6215-WHPS anteriores a 4.0.10.
Descripción

El investigador, Gabriele Quagliarella, de Nozomi Networks Labs, con apoyo y coordinación de CERT@VDE para su publicación, han informado de 4 vulnerabilidades críticas, 6 altas y otras vulnerabilidades de criticidad media y baja en productos de la serie WP 6xxx Web.

Solución

Phoenix Contact recomienda encarecidamente actualizar a la última versión de firmware 4.0.10 o superior.

Detalle

Las vulnerabilidades encontradas podrían permitir a un atacante leer archivos arbitrarios, inyectar comandos y eludir la autenticación o el control de acceso. Además, se han identificado incluidas en el código claves de sesión y cifrado, un servicio que se ejecuta con privilegios innecesarios y la falta de verificación en la actualización de firmware. Se han asignado los identificadores CVE-2023-3573, CVE-2023-3571, CVE-2023-3572 y CVE-2023-3570 para las vulnerabilidades críticas.