Inyección de código en productos de Schneider
Fecha de publicación:
23/03/2020
Importancia:
4 -
Alta
Recursos afectados:
- EcoStruxure™ Control Expert, todas las versiones anteriores a la 14.1 Hot Fix;
- Unity Pro, todas las versiones;
- Modicon M340, todas las versiones anteriores a V3.20;
- Modicon M580, todas las versiones anteriores a V3.10.
Descripción:
El investigador, Flavian Dola, de Airbus Cybersecurity, ha reportado una vulnerabilidad de tipo neutralización impropia de elementos especiales de salida usados por un componente descendente que podría permitir a un atacante remoto la transferencia de código malicioso al controlador.
Solución:
El fabricante ha lanzado un hotfix disponible para su descarga. Consulte la sección de referencias para actualizar el controlador afectado.
Detalle:
Una vulnerabilidad de tipo neutralización impropia de elementos especiales de salida usados por un componente descendente en una DLL del controlador podría permitir a un atacante remoto la transferencia de código malicioso al controlador. Se ha reservado el identificador CVE-2020-7475 para esta vulnerabilidad.
Referencias:
Etiquetas: