Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en controladores Honeywell Experion PKS y ACE

Múltiples vulnerabilidades en controladores Honeywell Experion PKS y ACE

Fecha de publicación: 
06/10/2021
Importancia: 
5 - Crítica
Recursos afectados: 

Experion PKS versiones:

  • C200: todas las versiones;
  • C200E: todas las versiones;
  • Controladores C300 y ACE: todas las versiones.
Descripción: 

Los investigadores Rei Henigman y Nadav Erez de Claroty han descubierto diferentes vulnerabilidades en los controladores Honeywell Experion PKS y ACE que permitirían a un atacante remoto ejecutar código arbitrario, causar una condición de denegación de servicio o el acceso a archivos y directorios no autorizados.

Solución: 

Honeywell todavía no ha publicado nuevas versiones que solucionen estas vulnerabilidades y recomienda a los usuarios que sigan todas las pautas de la Guía de planificación de seguridad y redes de Experion.

Puede encontrar información adicional en el documento de soporte de Honeywell SN2021-02-22-01

Detalle: 

Se han descubierto tres vulnerabilidades en controladores Honeywell Experion PKS y ACE, siendo la vulnerabilidad más crítica la causada por la carga de archivos sin restricciones en los dispositivos afectados, lo que puede permitir que un atacante ejecute código arbitrario de forma remota, a la que se ha asignado el identificador CVE-2021-38397.

Las otras vulnerabilidades identificadas tienen asignados los identificadores CVE-2021-38395 y CVE-2021-38399.

Encuesta valoración