botón arriba

Dos nuevos avisos de SCI

Vulnerabilidades en WIBU-SYSTEMS impactan en productos Phoenix Contact

Fecha19/09/2023
Importancia5 - Crítica
Recursos Afectados
  • Phoenix Contact Activation Wizard, versiones 1.6 y anteriores;
  • PLCnext Engineer y PLCNEXT ENGINEER EDU LIC, versiones 2023.6 y anteriores;
  • FL Network Manager, versiones 7.0 y anteriores;
  • E-Mobility Charging Suite e IOL Conf, versiones 1.7.0 y anteriores;
  • MTP DESIGNER y MTP DESIGNER TRIAL, versiones 1.2.0 BETA y anteriores.
Descripción

Phoenix Contact, con la coordinación y el soporte del CERT@VDE, ha informado de 2 vulnerabilidades: una de severidad crítica y otra alta, que afectan a varios productos. Estas vulnerabilidades, de tipo denegación de servicio (DoS), se encuentran en CodeMeter de WIBU-SYSTEMS, que está incorporado en los productos afectados de Phoenix Contact.

Solución
  • Actualizar CodeMeter a la versión 7.60c.
  • Actualizar Phoenix Contact Activation Wizard a la versión 1.7 cuando esté disponible.
Detalle
  • Una vulnerabilidad crítica de desbordamiento de búfer en el servicio de red WIBU CodeMeter Runtime hasta la versión 7.60b podría permitir a un atacante remoto no autenticado ejecutar código y obtener acceso completo al sistema host. Se ha asignado el identificador CVE-2023-3935 para esta vulnerabilidad.
  • Una vulnerabilidad alta de gestión inadecuada de privilegios a través de un uso incorrecto de las API privilegiadas, en las versiones de CodeMeter Runtime anteriores a la 7.60c, podría permitir a un atacante local con pocos privilegios utilizar una llamada a la API para escalar privilegios y obtener acceso completo de administrador en el sistema host. Se ha asignado el identificador CVE-2023-4701 para esta vulnerabilidad.

Vulnerabilidad de ejecución de código en GX Works3 de Mitsubishi Electric

Fecha19/09/2023
Importancia5 - Crítica
Recursos Afectados

GX Works3, todas las versiones.

Descripción

01dGu0, de Zhejiang Qian Information & Technology Co., Ltd., ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante local ejecutar código malicioso.

Solución

Mitsubishi Electric ha publicado una serie de medidas para mitigar la vulnerabilidad reportada. Para más información, consultar las referencias.

Detalle

CVE-2023-4088: vulnerabilidad de ejecución de código malicioso debido a permisos predeterminados incorrectos. La explotación de esta vulnerabilidad podría dar lugar a una divulgación de información, manipulación y borrado, o una condición de denegación de servicio.