Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Endress+Hauser

Múltiples vulnerabilidades en productos Endress+Hauser

Fecha de publicación: 
03/06/2022
Identificador: 
INCIBE-2022-0779
Importancia: 
5 - Crítica
Recursos afectados: 
  • DeviceCare, versiones 1.02.xx <= 1.07.06;
  • FieldCare, versiones 2.15.xx <= 2.16.xx;
  • Field Data Manager, versiones 1.4.0 <= 1.6.2;
  • Field Xpert, versiones 1.03.xx <= 1.05.xx;
  • Proline Promag W 800 OPC/UA Connectivity Server, versión 1.3.7926;
  • SupplyCare Enterprise, versiones 3.0.x <= 3.4.x.
Descripción: 

CERT@VDE, coordinado con ENDRESS+HAUSER, ha publicado un aviso que recoge 8 vulnerabilidades: 1 de severidad crítica, 3 altas y 3 medias. La explotación de las vulnerabilidades podría permitir: lectura fuera de límites, uso de memoria después de ser liberada, validación incorrecta de certificado, uso de enlaces simbólicos maliciosos o XSS.

Solución: 

Actualizar a:

  • SupplyCare Enterprise, versión 3.5.1 o superiores;
  • DeviceCare, versión 1.07.07 o superiores;
  • FieldCare, versión 2.17.00 o superiores;
  • Field Xpert, versión 1.06.00 o superiores;
  • Field Data Manager, versión 1.6.3 o superiores;
  • Proline Promag W 800 OPC/UA Connectivity Server, versiones superiores a 1.3.7926.
Detalle: 

Existe una vulnerabilidad de lectura fuera de los límites del búfer en las versiones de Wibu-Systems CodeMeter anteriores a 7.21a. Un atacante remoto, no autenticado, podría revelar el contenido de la memoria de la pila o bloquear el servidor de tiempo de ejecución de CodeMeter. Se ha asignado el identificador CVE-2021-20093 para la vulnerabilidad crítica.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2021-22901, CVE-2020-8286, CVE-2021-20094, CVE-2021-41057, CVE-2021-41182, CVE-2021-41183 y CVE-2021-41184.

Encuesta valoración