Múltiples vulnerabilidades en PTC ThingWorx Edge
Fecha de publicación 27/02/2023
Importancia
5 - Crítica
Recursos Afectados
- ThingWorx Edge C-SDK, versiones 2.2.12.1052 o anteriores;
- .NET-SDK, versiones 5.8.4.971 o anteriores;
- ThingWorx Edge MicroServer (EMS), versiones 5.4.10.0 o anteriores;
- Kepware KEPServerEX, versiones 6.12 o anteriores;
- ThingWorx Kepware Server (conocido anteriormente como ThingWorx Industrial Connectivity), versiones 6.12 o anteriores;
- ThingWorx Industrial Connectivity, todas las versiones;
- ThingWorx Kepware Edge, versiones 1.5 o anteriores;
- Rockwell Automation KEPServer Enterprise, versiones 6.12 o anteriores;
- GE Digital Industrial Gateway Server, versiones 7.612 o anteriores.
Descripción
Los investigadores, Chris Anastasio y Steven Seeley, de Incite Team, han reportado 2 vulnerabilidades críticas en ThingWorx Edge de PCT, cuya explotación podría permitir a un atacante bloquear el dispositivo afectado o provocar una condición de denegación de servicio (DoS).
Solución
Actualizar a las siguientes versiones:
- ThingWorx Edge C-SDK, 3.0.0 o posteriores;
- .NET-SDK, 5.8.5 o posteriores;
- ThingWorx Edge MicroServer (EMS), 5.4.11 o posteriores;
- Kepware KEPServerEX, 6.13 o posteriores;
- ThingWorx Kepware Server (conocido anteriormente como ThingWorx Industrial Connectivity), 6.13 o posteriores;
- ThingWorx Kepware Edge, 1.6 o posteriores;
- Rockwell Automation KEPServer Enterprise, 6.12 o posteriores;
- GE Digital Industrial Gateway Server, 7.613 o posteriores.
Detalle
Una validación incorrecta del índice del array o un desbordamiento de entero (wraparound) en los productos afectados podrían permitir a un atacante bloquear el servidor y ejecutar remotamente código arbitrario. Se han asignado los identificadores CVE-2023-0755 y CVE-2023-0754 para estas vulnerabilidades, respectivamente.
Listado de referencias
Etiquetas
