Inicio / Alerta Temprana / Avisos Sci / Fuga de información en ISaGRAF de Rockwell Automation

Fuga de información en ISaGRAF de Rockwell Automation

Fecha de publicación: 
30/03/2022
Importancia: 
3 - Media
Recursos afectados: 
  • Connected Component Workbench, versión 12.00 y anteriores;
  • ISaGRAF Workbench, versión 6.6.9 y anteriores;
  • Safety Instrumented Systems Workstation, versión 1.1 y anteriores.
Descripción: 

El investigador kimiya, trabajando con ZDI de Trend Micro, ha reportado una vulnerabilidad de severidad media, cuya explotación podría permitir a un atacante pasar datos de archivos locales a un servidor web remoto, provocando una pérdida de confidencialidad.

Solución: 
  • Connected Component Workbench, actualizar a la versión 13.00;
  • ISaGRAF Workbench, por ahora aplicar las medidas de mitigación (sección 4. MITIGATIONS del aviso de CISA) hasta que se publique el parche;
  • Safety Instrumented Systems Workstation, actualizar a la versión 1.2.
Detalle: 

Al abrir un archivo malicioso proporcionado por un atacante, la aplicación es vulnerable a una entidad externa XML (XXE) debido a una llamada insegura dentro del enlace dinámico a un archivo de librería. Se ha asignado el identificador CVE-2022-1018 para esta vulnerabilidad.

Encuesta valoración