Múltiples vulnerabilidades en VisiLogic OPLC IDE

Fecha de publicación:

13/11/2015

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Unitronics VisiLogic OPLC IDE, versión 9.8.0.00 y anteriores

Descripción:

Steven Seeley de Source Incite, Fritz Sands de ZDI y Andrea Micalizzi han reportado a través de la iniciativa Zero Day (Zero Day Initiative - ZDI) de HP múltiples vulnerabilidades en el producto VisiLogic OPLC IDE de Unitronics.

Solución:

Unitronics ha publicado la versión V9.8.09 del software que corrige estas vulnerabilidades. La nueva versión puede descargarse de la página web del fabricante.

Detalle:

Las vulnerabilidades detectadas son las siguientes:

Control ActiveX inseguro marcado como seguro: Existen varias instancias donde el control ActiveX debería estar restringido y está marcado como seguro. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-6478 para esta vulnerabilidad.
Inyección de código: Existen varias instancias donde una entrada externa puede cambiar el comportamiento de la aplicación. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-7905 para esta vulnerabilidad.
Otra forma de inyectar código está presente a la hora de verificar un fichero específico con una longitud de nombre no válida. Este hecho origina un desbordamiento de búfer. Se ha reservado el código CVE-2015-7939 para esta vulnerabilidad.

Referencias:

Unitronics VisiLogic OPLC IDE Vulnerabilities

Support

Etiquetas:

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en VisiLogic OPLC IDE

Consumo incontrolado de recursos en múltiples productos de Mitsubishi Electric

Vulnerabilidad de escalada de privilegios locales en GE Digital CIMPLICITY

Múltiples vulnerabilidades en productos de Phoenix Contact

Vulnerabilidad de desbordamiento de búfer en WebAccess de Advantech

Múltiples vulnerabilidades en productos de Codesys V3