Dos nuevos avisos de SCI
Múltiples vulnerabilidades en C-MORE EA9 HMI de Automation-Direct
C-MORE EA9 HMI, versión 6.77 y anteriores de los siguientes modelos:
- T6CL;
- T7CL;
- T7CL-R;
- T8CL;
- T10CL;
- T10WCL;
- T12CL;
- T15CL;
- T15CL-R;
- RHMI;
- PGMSW.
Tomer Goldschmidt, de Claroty Research - Team82, ha notificado 3 vulnerabilidades de severidades 1 alta y 2 medias. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante explotar un dispositivo remoto e inyectar código malicioso en el panel.
AutomationDirect recomienda que los usuarios actualicen C-MORE EA9 HMI a V6.78.
La vulnerabilidad de severidad alta afecta a la limitación inadecuada de un nombre de ruta de un directorio restringido ("Path Traversal"). Su explotación podría permitir a un atacante enviar una ruta relativa en la URL sin una desinfección adecuada del contenido. Se ha asignado el identificador CVE-2024-25136 para esta vulnerabilidad.
Para las vulnerabilidades de severidad media se han asignado los identificadores CVE-2024-25137 y CVE-2024-25138.
Múltiples vulnerabilidades en Arena Simulation de Rockwell Automation
Arena Simulation Software, versión 16.00.
Michael Heinzl ha informado de 6 vulnerabilidades, 5 de ellas de severidad alta y una media. La explotación exitosa de estas vulnerabilidades podría bloquear la aplicación o permitir que un atacante ejecute código dañino en el sistema.
Rockwell Automation recomienda actualizar el software del producto afectado a la versión 16.20.03.
Las vulnerabilidades de severidad alta se clasifican en:
- escritura fuera de límites,
- desbordamiento de búfer basado en montículo,
- restricción inadecuada de operaciones dentro de los límites de un búfer de memoria,
- uso después de ser liberado,
- acceso al puntero no inicializado.
Se han asignado los identificadores CVE-2024-21912, CVE-2024-21913, CVE-2024-2929, CVE-2024-21918 y CVE-2024-21919 para estas vulnerabilidades.
Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2024-21920.