Vulnerabilidades en Iconics Genesis32 y Genesis64

Fecha de publicación 19/06/2020
Importancia
5 - Crítica
Recursos Afectados

Los productos que utilizan GenBroker64, Platform Services, Workbench, FrameWorX Server con versión 10.96 o anteriores son:

  • GENESIS64,
  • Hyper historiador,
  • AnalytiX,
  • MobileHMI.

Los productos con GenBroker32 versión v9.5 y anteriores son:

  • GENESIS32,
  • BizViz.
Descripción

Investigadores de las empresas Claroty, Flashback, Incite y el Laboratorio Nacional Oak Ridge han descubierto diferentes vulnerabilidades en los productos de Iconics, que permitirían inyecciones remotas de código o ataques de denegación de servicio.

Solución

Iconics lanzará las versiones 10.96, 10.95.5 y 10.95.2 para Genesis64 que corrigen estas vulnerabilidades, y las versiones 9.4 y 9.5 para Genesis32.

Para más información, se recomienda acudir a la página web de Iconics.

Detalle

Las vulnerabilidades encontradas en los productos de Iconics podrían permitir ataques con escritura fuera de los límites, inyecciones de código o deserialización de datos no confiables.

La vulnerabilidad con mayor severidad es de carácter crítico y permitiría que un cliente WCF, especialmente diseñado, pudiera ejecutar comandos SQL arbitrarios de forma remota en el servidor Genesis64 FrameWorX.

Los identificadores asignados a estas vulnerabilidades son: CVE-2020-12011, CVE-2020-12015, CVE-2020-12009, CVE-2020-12013 y CVE-2020-12007. 

Encuesta valoración

Listado de referencias
Whitepapers on Security Vulnerabilities
ICS Advisory (ICSA-20-170-03) ICONICS GENESIS64, GENESIS32
Etiquetas