Múltiples vulnerabilidades en productos de Siemens
Fecha de publicación
18/05/2021
Importancia
4 - Alta
Recursos Afectados
- JT2Go, todas las versiones anteriores a la 13.1.0.2;
- Teamcenter Visualization, todas las versiones anteriores a la 13.1.0.2.
Descripción
Se han identificado 5 vulnerabilidades de severidad alta, que podrían permitir a un atacante establecer una condición de denegación de servicio, ejecutar código arbitrario o exfiltrar de datos.
Solución
Actualizar los productos JTsGo y Teamcenter Visualization a su versión 13.1.0.2 u otra posterior.
Adicionalmente, como medida de mitigación, Siemens recomienda evitar abrir archivos no confiables, procedentes de fuentes desconocidas, en ambos productos afectados.
Detalle
- Una vulnerabilidad en el parseo de archivos ASM, debida a una validación incorrecta de los datos proporcionados por el usuario, podría conducir a una desreferencia de punteros, posibilitando a un atacante ejecutar código arbitrario. Se ha asignado el identificador CVE-2020-26991 para esta vulnerabilidad.
- Una vulnerabilidad en el parseo de archivos PAR, debida a una validación incorrecta de los datos proporcionados por el usuario, podría resultar en una lectura fuera de límites de la memoria o en un desbordamiento de búfer basado en pila (stack), posibilitando a un atacante exfiltrar información o ejecutar código arbitrario. Se han asignado los identificadores CVE-2020-26998, CVE-2020-26999, CVE-2020-27001 y CVE-2020-27002 para estas vulnerabilidades.
Listado de referencias
Etiquetas