Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Ruta de búsqueda no controlada en ProSoft Configurator de Schneider Electric

Fecha de publicación 12/02/2020
Importancia
4 - Alta
Recursos Afectados

ProSoft Configurator v1.002 y anteriores, para el módulo PMEPXM0100 (H).

Descripción

El investigador Yongjun Liu (nsfocus) ha descubierto una vulnerabilidad de tipo ruta de búsqueda no controlada que afecta a ProSoft Configurator, que podría permitir a un atacante local ejecutar código arbitrario.

Solución

Actualizar ProSoft Configurator a la versión v1.003 o posterior.

Detalle

Una vulnerabilidad de elemento de ruta (path) de búsqueda no controlada podría permitir a un atacante local la ejecución de código arbitrario al abrir un proyecto que podría ejecutar una DLL maliciosa. Se ha reservado el identificador CVE-2020-7474 para dicha vulnerabilidad.

Encuesta valoración

Listado de referencias
Security Notification - ProSoft Configurator for Modicon PMEPXM0100 (H)
Etiquetas