Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Movicon SCADA/HMI de Progea

Múltiples vulnerabilidades en Movicon SCADA/HMI de Progea

Fecha de publicación: 
18/10/2017
Importancia: 
3 - Media
Recursos afectados: 

Las siguientes versiones del softwar HMI Movicon están afectadas:

  • Movicon versiones 11.5.1181 y anteriores
Descripción: 

El investigador Karn Ganeshen ha informado de varias vulnerabilidades en los productos afectados que podrían permitir a un atacante escalar privilegios o ejecutar código arbitrario.

Solución: 

Progea, fabricante de los productos afectados, no ha proporcionado una actualización que permita corregir estas vulnerabilidades, no obstante, ha publicado una entrada donde se describe cómo evitar un ataque de secuestro de DLL que puede verse en este enlace.

Detalle: 
  • Vulnerabilidad de ruta de búsqueda no controlada: un atacante sin privilegios podría ejecutar código arbitrario en la forma de un archivo DDL malicioso. Se ha reservado el identificador CVE-2017-14017 para esta vulnerabilidad.
  • Vulnerabilidad de búsqueda no entrecomillada de ruta o elemento: un atacante con autorización de acceso local podría insertar código arbitrario mediante una búsqueda no entrecomillada y de esta manera elevar sus privilegios. Se ha reservado el identificador CVE-2017-14019 para esta vulnerabilidad.