Múltiples vulnerabilidades en VC4 Visualization de B&R Automation
Fecha de publicación 17/04/2023
Identificador
INCIBE-2023-0142
Importancia
5 - Crítica
Recursos Afectados
Versiones de VC4 Visualization iguales o anteriores a:
- 3.96.7;
- 4.06.4;
- 4.16.3;
- 4.26.8;
- 4.34.6;
- 4.45.1;
- 4.53.0;
- 4.72.9.
Descripción
Se han identificado 3 vulnerabilidades, 2 de severidad crítica y 1 alta, que podrían permitir a un atacante, no autenticado, y con acceso a la red, explotar dichas vulnerabilidades omitiendo el mecanismo de autenticación de VC4 Visualization, leyendo la memoria de la pila o ejecutando código arbitrario.
Solución
- Actualizar a las versiones 3.96.8, 4.34.7 o 4.73.0.
- Las versiones anteriores a 3.9 están discontinuadas.
Detalle
Las vulnerabilidades críticas se detallan a continuación:
- VNC contiene múltiples vulnerabilidades de escritura fuera de límites en libvncclient/rfbproto.c. Se ha asignado el identificador CVE-2018-20748 para esta vulnerabilidad.
- El componente del servidor VNC posee un mecanismo de autenticación inadecuado, que podría permitir a un atacante, no autenticado, y con acceso a la red, eludir el mecanismo de autenticación en los dispositivos afectados. Se ha asignado el identificador CVE-2023-1617 para esta vulnerabilidad.
La vulnerabilidad de severidad alta tiene asignada el identificador CVE-2019-8277.
Listado de referencias
