Inicio / Alerta Temprana / Avisos Sci / Limitación incorrecta de la ruta a un directorio restringido en SharpZipLib de Phoenix Contact

Limitación incorrecta de la ruta a un directorio restringido en SharpZipLib de Phoenix Contact

Fecha de publicación: 
22/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • Cadena de herramientas de tecnología PLCnext para Windows: versiones desde 2019.0 LTS hasta la anterior a 2022.0 LTS.
  • FL Network Manager: versiones desde 4.0 hasta 6.0, ambas incluidas.
Descripción: 

Jaroslav Lobačevski, del equipo de GHSL, ha reportado a Phoenix Contact una vulnerabilidad, por la que un atacante podría tomar el control de un PC vulnerable, obtener acceso no autorizado a datos sensibles o afectar a la disponibilidad del sistema. El CERT@VDE ha coordinado y dado soporte a esta publicación.

Solución: 
Detalle: 

SharpZipLib (o #ziplib) es una biblioteca Zip, GZip y Tar. En versiones previas a la 1.3.3 un archivo TAR de entrada ../evil.txt podría ser extraído en el directorio padre de destFolder. Se han asignado los identificadores CVE-2021-32840 y CVE-2021-32842 para esta vulnerabilidad.

Encuesta valoración