botón arriba

Un nuevo aviso de SCI

[Actualización 01/08/2023] Escritura fuera de límites en productos Moxa

Fecha10/06/2022
Importancia4 - Alta
Recursos Afectados
  • NPort 5110 Series, versión de firmware 2.10.
Descripción

Jens Nielsen, de En Garde Security, ha reportado a Moxa 2 vulnerabilidades en sus productos que podrían permitir a un atacante la denegación del servicio o hacer que la información deje de estar disponible.

Solución

Contactar con el centro de soporte técnico de Moxa para recibir asistencia.

Detalle
  • La escritura fuera de límites podría permitir a un atacante la denegación del servicio. Se ha asignado el identificador CVE-2022-2043 para esta vulnerabilidad.
  • La escritura fuera de límites podría permitir a un atacante sobrescribir ciertos valores en la memoria para hacer que la información no esté disponible. Se ha asignado el identificador CVE-2022-2044 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos WAGO

Fecha01/08/2023
Importancia4 - Alta
Recursos Afectados
  • WAGO WLAN ETHERNET Gateway, todas las versiones.
  • Versiones de firmware 25 y anteriores de los productos:
    • Compact Controller 100,
    • EC 300,
    • PFC100,
    • PFC200,
    • TP 600.
Descripción

El fabricante WAGO, en coordinación con el CERT@VDE, ha publicado 17 vulnerabilidades que afectan a varios productos, 14 de severidad alta y 3 medias.

Solución
  • Para la vulnerabilidad CVE-2022-25836, no está planeado publicar una actualización de firmware para solucionarlo, únicamente se puede deshabilitar Bluetooth LE en caso de no estar en uso.
  • Para el resto de vulnerabilidades, la actualización de firmware está planeada para el primer trimestre de 2024. Hasta entonces, se recomienda aplicar las medidas descritas en el apartado 'Mitigation' del aviso VDE-2023-026.
Detalle

Los tipos de vulnerabilidades se listan a continuación:

  • omisión de autenticación (CVE-2022-25836);
  • escritura fuera de los límites del búfer (CVE-2022-47390, CVE-2022-47379, CVE-2022-47380, CVE-2022-47381, CVE-2022-47382, CVE-2022-47383, CVE-2022-47384, CVE-2022-47385, CVE-2022-47386, CVE-2022-47387, CVE-2022-47388 y CVE-2022-47389);
  • validación incorrecta de datos de entrada (CVE-2022-47391, CVE-2022-47392 y CVE-2022-47378);
  • restricción incorrecta de operaciones dentro del búfer (CVE-2022-47393).