Dos nuevos avisos de seguridad
Avisos de seguridad de Siemens de enero de 2025
- SIPROTEC 5;
- Mendix LDAP;
- Siveillance Video Device Pack;
- Industrial Edge Management OS (IEM-OS);
- SIMATIC S7-1200 CPU.
Consultar modelos concretos y versiones afectadas en las referencias.
Siemens ha publicado en su comunicado mensual varias actualizaciones de seguridad de diferentes productos.
Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de 'Referencias'.
Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 5 nuevos avisos de seguridad, recopilando un total de 5 vulnerabilidades de distintas severidades.
La vulnerabilidad crítica consiste en una inyección en el módulo LDAP de Mendix, lo que podría permitir a un atacante remoto no autenticado omitir el proceso de verificación del nombre de usuario. Se ha asignado el idenficicador CVE-2024-56841 para esta vulnerabilidad.
El resto de vulnerabilidades no críticas tienen asignados los identificadores CVE-2024-53649, CVE-2024-12569, CVE-2024-45385 y CVE-2024-47100.
Escalada de privilegios en productos Phoenix Contact
Versiones de firmware anteriores a la versión 1.7.0, instaladas en:
- CHARX SEC-3000
- CHARX SEC-3050
- CHARX SEC-3100
- CHARX SEC-3150
Phoenix Contact ha publicado una vulnerabilidad de severidad alta que afecta a controladores de carga CHARX que de ser explotada podría permitir una escalada de privilegios.
Actualizar los productos afectados a la versión 1.7.0 de firmware.
El manejo inadecuado de los permisos de archivo podría permitir a un usuario autenticado con pocos privilegios obtener acceso root.
Se ha asignado el identificador CVE-2024-11497 para esta vulnerabilidad.