Múltiples vulnerabilidades en VisiLogic OPLC IDE

Fecha de publicación:

13/11/2015

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Unitronics VisiLogic OPLC IDE, versión 9.8.0.00 y anteriores

Descripción:

Steven Seeley de Source Incite, Fritz Sands de ZDI y Andrea Micalizzi han reportado a través de la iniciativa Zero Day (Zero Day Initiative - ZDI) de HP múltiples vulnerabilidades en el producto VisiLogic OPLC IDE de Unitronics.

Solución:

Unitronics ha publicado la versión V9.8.09 del software que corrige estas vulnerabilidades. La nueva versión puede descargarse de la página web del fabricante.

Detalle:

Las vulnerabilidades detectadas son las siguientes:

Control ActiveX inseguro marcado como seguro: Existen varias instancias donde el control ActiveX debería estar restringido y está marcado como seguro. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-6478 para esta vulnerabilidad.
Inyección de código: Existen varias instancias donde una entrada externa puede cambiar el comportamiento de la aplicación. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-7905 para esta vulnerabilidad.
Otra forma de inyectar código está presente a la hora de verificar un fichero específico con una longitud de nombre no válida. Este hecho origina un desbordamiento de búfer. Se ha reservado el código CVE-2015-7939 para esta vulnerabilidad.

Referencias:

Unitronics VisiLogic OPLC IDE Vulnerabilities

Support

Etiquetas:

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en VisiLogic OPLC IDE

Evasión de autenticación en múltiples productos de ABB

Vulnerabilidad de autenticación inapropiada en Aestiva y Aespire Anesthesia de GE

Vulnerabilidad en dispositivos Holter 2010 Plus de Philips

Múltiples vulnerabilidades en CNCSoft de Delta Electronics

Múltiples vulnerabilidades en productos de Schneider Electric