Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Automation Worx Software Suite de Phoenix Contact

Múltiples vulnerabilidades en Automation Worx Software Suite de Phoenix Contact

Fecha de publicación: 
01/07/2020
Importancia: 
4 - Alta
Recursos afectados: 

Los componentes de Automation Worx Software Suite con versión 1.87 y anteriores:

  • PC Worx,
  • PC Worx Express.
Descripción: 

Investigadores independientes trabajando, a través de Trend Micro Zero Day Initiative, han reportado varias vulnerabilidades en componentes de Worx Software Suite, que podrían permitir a un atacante comprometer la estación de trabajo donde se utilicen esos componentes a través de una ejecución remota de código.

Solución: 

Esta vulnerabilidad se corregirá en la próxima versión de Automation Worx Software Suite.

Se recomienda no intercambiar archivos de proyectos para PC Worx de manera insegura o sin haber comprobado antes el cálculo de un hash de verificación de los ficheros para asegurar su integridad.

Detalle: 

Las vulnerabilidades encontradas podrían permitir, mediante el uso de proyectos para PC Worx manipulados, realizar una ejecución remota de código debido a una insuficiente validación de entrada al procesar archivos *.mwe, provocando un desbordamiento de búfer basado en stack y lectura fuera de límites.

Un atacante necesitaría tener acceso a un proyecto original de PC Worx y manipular los datos dentro de la carpeta de proyectos, sustituyendo el manipulado por el original en la estación de trabajo.

Se han reservado los identificadores CVE-2020-12497 y CVE-2020-12498 para estas vulnerabilidades.

Encuesta valoración