Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en CIMPLICITY de GE

Múltiples vulnerabilidades en CIMPLICITY de GE

Fecha de publicación: 
23/11/2022
Identificador: 
INCIBE-2022-1024
Importancia: 
4 - Alta
Recursos afectados: 

CIMPLICITY versión 2022 y anteriores.

Descripción: 

Kimiya, en colaboración con Trend micro Zero Day Initiative, ha reportado 5 vulnerabilidades a CISA. La explotación exitosa de estas vulnerabilidades podría bloquear el dispositivo al que se accede o permitir la ejecución de código arbitrario.

Solución: 

GE recomienda a los usuarios que consulten la 'Guía de implementación segura de CIMPLICITY' para mitigar las vulnerabilidades informadas.

Detalle: 

El producto afectado es vulnerable:

  • Cuando los datos de una dirección con errores controlan el flujo de código a partir de gmmiObj!CGmmiRootOptionTable, lo que podría permitir que un atacante ejecute código arbitrario. Se ha asignado el identificador CVE-2022-3084 para esta vulnerabilidad.
  • Cuando los datos de una dirección con errores controlan el flujo de código a partir de gmmiObj!CGmmiOptionContainer, lo que podría permitir que un atacante ejecute código arbitrario. Se ha asignado el identificador CVE-2022-2952 para esta vulnerabilidad.
  • A un desbordamiento de búfer basado en pila, lo que podría permitir que un atacante ejecute código arbitrario. Se ha asignado el identificador CVE-2022-2948 para esta vulnerabilidad.
  • Cuando los datos de la dirección incorrecta controlan el flujo de código a partir de gmmiObj!CGmmiOptionContainer, lo que podría permitir que un atacante ejecute código arbitrario. Se ha asignado el identificador CVE-2022-2002 para esta vulnerabilidad.
  • A una escritura fuera de los límites, lo que podría permitir que un atacante ejecute código arbitrario. Se ha asignado el identificador CVE-2022-3092 para esta vulnerabilidad.

Encuesta valoración