Múltiples vulnerabilidades en VisiLogic OPLC IDE

Fecha de publicación:

13/11/2015

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Unitronics VisiLogic OPLC IDE, versión 9.8.0.00 y anteriores

Descripción:

Steven Seeley de Source Incite, Fritz Sands de ZDI y Andrea Micalizzi han reportado a través de la iniciativa Zero Day (Zero Day Initiative - ZDI) de HP múltiples vulnerabilidades en el producto VisiLogic OPLC IDE de Unitronics.

Solución:

Unitronics ha publicado la versión V9.8.09 del software que corrige estas vulnerabilidades. La nueva versión puede descargarse de la página web del fabricante.

Detalle:

Las vulnerabilidades detectadas son las siguientes:

Control ActiveX inseguro marcado como seguro: Existen varias instancias donde el control ActiveX debería estar restringido y está marcado como seguro. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-6478 para esta vulnerabilidad.
Inyección de código: Existen varias instancias donde una entrada externa puede cambiar el comportamiento de la aplicación. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-7905 para esta vulnerabilidad.
Otra forma de inyectar código está presente a la hora de verificar un fichero específico con una longitud de nombre no válida. Este hecho origina un desbordamiento de búfer. Se ha reservado el código CVE-2015-7939 para esta vulnerabilidad.

Referencias:

Unitronics VisiLogic OPLC IDE Vulnerabilities

Support

Etiquetas:

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en VisiLogic OPLC IDE

Múltiples vulnerabilidades en varios productos de MB connect line

Vulnerabilidades en productos de Bosch con sistemas de comunicación CODESYS

Referencia a puntero nulo en módulos de interfaz Ethernet MELSEC-F de Mitsubishi Electric

Vulnerabilidad de falta de autenticación en WebAccess/NMS de Advantech

Múltiples vulnerabilidades en R-SeeNet de Advantech