Inicio / Alerta Temprana / Avisos Sci / Ejecución arbitraria de código en Cscape EnvisionRV de Horner Automation

Ejecución arbitraria de código en Cscape EnvisionRV de Horner Automation

Fecha de publicación: 
22/12/2021
Importancia: 
4 - Alta
Recursos afectados: 

Cscape EnvisionRV v4.50.3.1 y anteriores.

Descripción: 

Michael Heinzl ha informado al CISA de esta vulnerabilidad de severidad alta, por la que un atacante podría ejecutar código arbitrario en el contexto del proceso actual.

Solución: 

Actualizar a última versión de Cscape Envision RV.

Para usuarios con instalaciones específicas, ponerse en contacto con la asistencia técnica de Horner Automation:

Detalle: 

Esta vulnerabilidad puede ser explotada mediante el análisis de archivos de proyecto maliciosamente elaborados. Los problemas se deben a la falta de validación adecuada de los datos suministrados por el usuario, lo que puede dar lugar a lecturas y escrituras más allá del final de las estructuras de datos asignadas. Se requiere la interacción del usuario para explotar esta vulnerabilidad, ya que un atacante debe engañar a un usuario válido para que abra un archivo de proyecto HMI malicioso. Se ha asignado el identificador CVE-2021-44462 para esta vulnerabilidad.

Encuesta valoración