Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de elemento de ruta de búsqueda no controlado en Sentinel UltraPro de Gemalto

Fecha de publicación 15/03/2019
Importancia
3 - Media
Recursos Afectados
  • Sentinel UltraPro Client Library ux32w.dll, versiones 1.3.0, 1.3.1 y 1.3.2

[Actualización 18/03/2019]:

  • InduSoft Web Studio versiones anteriores a 8.1 SP3
  • InTouch Edge HMI (antes denominado InTouch Machine Edition) versiones anteriores a 2017 Update 3
Descripción

El investigador ADLab de Venustech ha reportado una vulnerabilidad de elemento de ruta de búsqueda no controlado. Un atacante podría ejecutar código o comandos arbitrarios.

[Actualización 18/03/2019]:

El componente afectado por esta vulnerabilidad es utilizado en InduSoft Web Studio y InTouch Edge HMI.

Solución
  • Los usuarios afectados deben actualizar a la versión 1.3.3 que soluciona esta vulnerabilidad.

[Actualización 18/03/2019]:

Detalle
  • Existe una vulnerabilidad de elemento de ruta de búsqueda no controlado que podría permitir a un atacante cargar y ejecutar un fichero malicioso desde la librería ux32.dll en Sentinel UltraPro. Se ha asignado el identificador CVE-2019-6534 para esta vulnerabilidad.

Encuesta valoración