Inicio / Alerta Temprana / Avisos Sci / Inyección de código en productos de Schneider

Inyección de código en productos de Schneider

Fecha de publicación: 
23/03/2020
Importancia: 
4 - Alta
Recursos afectados: 
  • EcoStruxure™ Control Expert, todas las versiones anteriores a la 14.1 Hot Fix;
  • Unity Pro, todas las versiones;
  • Modicon M340, todas las versiones anteriores a V3.20;
  • Modicon M580, todas las versiones anteriores a V3.10.
Descripción: 

El investigador, Flavian Dola, de Airbus Cybersecurity, ha reportado una vulnerabilidad de tipo neutralización impropia de elementos especiales de salida usados por un componente descendente que podría permitir a un atacante remoto la transferencia de código malicioso al controlador.

Solución: 

El fabricante ha lanzado un hotfix disponible para su descarga. Consulte la sección de referencias para actualizar el controlador afectado.

Detalle: 

Una vulnerabilidad de tipo neutralización impropia de elementos especiales de salida usados por un componente descendente en una DLL del controlador podría permitir a un atacante remoto la transferencia de código malicioso al controlador. Se ha reservado el identificador CVE-2020-7475 para esta vulnerabilidad.

Encuesta valoración