Múltiples vulnerabilidades en Profinet SDK de Phoenix Contact

Fecha de publicación:

14/12/2022

Identificador:

INCIBE-2022-1046

Importancia:

5 - Crítica

Recursos afectados:

Profinet SDK, versiones 6.6 y anteriores.

Descripción:

El CERT@VDe ha coordinado y dado soporte a la publicación de 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan al producto Profinet SDK, cuya explotación podría permitir a un atacante causar el bloqueo de un programa, utilizar valores inesperados o ejecutar código.

Solución:

Actualizar la librería libexpat a la versión 2.4.9 o superiores.
Actualizar Profinet SDK a la versión 6.7 o superiores.

Detalle:

Se han identificado 2 vulnerabilidades en la librería del analizador XML Expat (libexpat). La disponibilidad, integridad o confidencialidad de un dispositivo que utilice PROFINET Controller Stack podrían verse comprometidas por ataques que exploten estas vulnerabilidades. Se han asignado los identificadores CVE-2022-40674 (crítica) y CVE-2022-43680 (alta) para estas vulnerabilidades.

Referencias:

VDE-2022-058 PHOENIX CONTACT: Profinet SDK libexpat vulnerabilities

Security Advisory for PROFINET SDK

Etiquetas:

Actualización

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en Profinet SDK de Phoenix Contact

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron