Vulnerabilidad en PLCnext Engineer de Phoenix Contact

Fecha de publicación 22/07/2020
Importancia
4 - Alta
Recursos Afectados

PLCnext Engineer (1046008) 2020.3.1 y anteriores

Descripción

CERT@VDE ha publicado una vulnerabilidad del tipo limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal) en productos Phoenix Contact que podría permitir a un atacante la ejecución remota de código.

Solución

Actualizar a PLCnext Engineer 2020.6 o superior.

Detalle

Los parámetros de construcción de un proyecto de PLCnext Engineer (.pcwex) pueden ser manipulados por un atacante con acceso al proyecto, lo que podría permitir la ejecución remota de código. Se ha asignado el identificador CVE-2020-12499 para esta vulnerabilidad.

Encuesta valoración