Múltiples vulnerabilidades en VisiLogic OPLC IDE
Fecha de publicación:
13/11/2015
Importancia:
5 -
Crítica
Recursos afectados:
Los productos afectados son los siguientes:
- Unitronics VisiLogic OPLC IDE, versión 9.8.0.00 y anteriores
Descripción:
Steven Seeley de Source Incite, Fritz Sands de ZDI y Andrea Micalizzi han reportado a través de la iniciativa Zero Day (Zero Day Initiative - ZDI) de HP múltiples vulnerabilidades en el producto VisiLogic OPLC IDE de Unitronics.
Solución:
Unitronics ha publicado la versión V9.8.09 del software que corrige estas vulnerabilidades. La nueva versión puede descargarse de la página web del fabricante.
Detalle:
Las vulnerabilidades detectadas son las siguientes:
- Control ActiveX inseguro marcado como seguro: Existen varias instancias donde el control ActiveX debería estar restringido y está marcado como seguro. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-6478 para esta vulnerabilidad.
- Inyección de código: Existen varias instancias donde una entrada externa puede cambiar el comportamiento de la aplicación. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-7905 para esta vulnerabilidad.
Otra forma de inyectar código está presente a la hora de verificar un fichero específico con una longitud de nombre no válida. Este hecho origina un desbordamiento de búfer. Se ha reservado el código CVE-2015-7939 para esta vulnerabilidad.
Referencias:
Etiquetas: