Múltiples vulnerabilidades en VisiLogic OPLC IDE

Fecha de publicación:

13/11/2015

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Unitronics VisiLogic OPLC IDE, versión 9.8.0.00 y anteriores

Descripción:

Steven Seeley de Source Incite, Fritz Sands de ZDI y Andrea Micalizzi han reportado a través de la iniciativa Zero Day (Zero Day Initiative - ZDI) de HP múltiples vulnerabilidades en el producto VisiLogic OPLC IDE de Unitronics.

Solución:

Unitronics ha publicado la versión V9.8.09 del software que corrige estas vulnerabilidades. La nueva versión puede descargarse de la página web del fabricante.

Detalle:

Las vulnerabilidades detectadas son las siguientes:

Control ActiveX inseguro marcado como seguro: Existen varias instancias donde el control ActiveX debería estar restringido y está marcado como seguro. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-6478 para esta vulnerabilidad.
Inyección de código: Existen varias instancias donde una entrada externa puede cambiar el comportamiento de la aplicación. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-7905 para esta vulnerabilidad.
Otra forma de inyectar código está presente a la hora de verificar un fichero específico con una longitud de nombre no válida. Este hecho origina un desbordamiento de búfer. Se ha reservado el código CVE-2015-7939 para esta vulnerabilidad.

Referencias:

Unitronics VisiLogic OPLC IDE Vulnerabilities

Support

Etiquetas:

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en VisiLogic OPLC IDE

Múltiples vulnerabilidades en R-SeeNet de Advantech

Múltiples vulnerabilidades en distintos productos de Philips

Múltiples vulnerabilidades en varios productos de WAGO

Múltiples vulnerabilidades en FATEK Automation WinProladder

Validación de entrada incorrecta en múltiples productos de Mitsubishi Electric