Múltiples vulnerabilidades en productos de Siemens

Fecha de publicación 18/05/2021
Importancia
4 - Alta
Recursos Afectados
  • JT2Go, todas las versiones anteriores a la 13.1.0.2;
  • Teamcenter Visualization, todas las versiones anteriores a la 13.1.0.2.
Descripción

Se han identificado 5 vulnerabilidades de severidad alta, que podrían permitir a un atacante establecer una condición de denegación de servicio, ejecutar código arbitrario o exfiltrar de datos.

Solución

Actualizar los productos JTsGo y Teamcenter Visualization a su versión 13.1.0.2 u otra posterior.

Adicionalmente, como medida de mitigación, Siemens recomienda evitar abrir archivos no confiables, procedentes de fuentes desconocidas, en ambos productos afectados.

Detalle
  • Una vulnerabilidad en el parseo de archivos ASM, debida a una validación incorrecta de los datos proporcionados por el usuario, podría conducir a una desreferencia de punteros, posibilitando a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2020-26991 para esta vulnerabilidad.
  • Una vulnerabilidad en el parseo de archivos PAR, debida a una validación incorrecta de los datos proporcionados por el usuario, podría resultar en una lectura fuera de límites de la memoria o en un desbordamiento de búfer basado en pila (stack), posibilitando a un atacante exfiltrar información o ejecutar código arbitrario. Se han asignado los identificadores CVE-2020-26998, CVE-2020-26999, CVE-2020-27001 y CVE-2020-27002 para estas vulnerabilidades.

Encuesta valoración

Listado de referencias
SSA-695540: ASM and PAR File Parsing Vulnerabilities in JT2Go and Teamcenter Visualization before V13.1.0.2
ICS Advisory (ICSA-21-147-04) Siemens JT2Go and Teamcenter Visualization
Etiquetas