Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Phoenix Contact

Múltiples vulnerabilidades en productos Phoenix Contact

Fecha de publicación: 
13/10/2022
Identificador: 
INCIBE-2022-0965
Importancia: 
5 - Crítica
Recursos afectados: 
  • Versiones anteriores a 2022.0.8 LTS de:
    • AXC F 1152,
    • AXC F 2152,
    • AXC F 3152,
    • BPC 9102S,
    • RFC 4072S.
  • Versiones anteriores a 2022.0.7 LTS de:
    • EPC 1502,
    • EPC 1522.
Descripción: 

Phoenix Contact, en coordinación con el CERT@VDE, ha publicado un aviso con múltiples vulnerabilidades: 7 de severidad crítica, 58 altas y 18 medias, que afectan a componentes Linux en firmware empleado en PLCnext.

Solución: 

Actualizar a las últimas versiones de firmware LTS y de PLCnext Engineer LTS.

Detalle: 

Las vulnerabilidades críticas son de tipo:

  • errores de lógica de negocio (CVE-2022-32207),
  • desbordamiento de búfer basado en pila (CVE-2022-2207),
  • lectura fuera de límites (CVE-2022-1927),
  • omisión de autenticación (CVE-2022-0547),
  • codificación incorrecta de la salida (CVE-2022-25235),
  • exposición de recursos (CVE-2022-25236),
  • escritura fuera de límites (CVE-2022-2210).

El resto de identificadores CVE aparecen listados en el aviso del CERT@VDE.

Encuesta valoración