Múltiples vulnerabilidades en VisiLogic OPLC IDE

Fecha de publicación:

13/11/2015

Importancia:

5 - Crítica

Recursos afectados:

Los productos afectados son los siguientes:

Unitronics VisiLogic OPLC IDE, versión 9.8.0.00 y anteriores

Descripción:

Steven Seeley de Source Incite, Fritz Sands de ZDI y Andrea Micalizzi han reportado a través de la iniciativa Zero Day (Zero Day Initiative - ZDI) de HP múltiples vulnerabilidades en el producto VisiLogic OPLC IDE de Unitronics.

Solución:

Unitronics ha publicado la versión V9.8.09 del software que corrige estas vulnerabilidades. La nueva versión puede descargarse de la página web del fabricante.

Detalle:

Las vulnerabilidades detectadas son las siguientes:

Control ActiveX inseguro marcado como seguro: Existen varias instancias donde el control ActiveX debería estar restringido y está marcado como seguro. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-6478 para esta vulnerabilidad.
Inyección de código: Existen varias instancias donde una entrada externa puede cambiar el comportamiento de la aplicación. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-7905 para esta vulnerabilidad.
Otra forma de inyectar código está presente a la hora de verificar un fichero específico con una longitud de nombre no válida. Este hecho origina un desbordamiento de búfer. Se ha reservado el código CVE-2015-7939 para esta vulnerabilidad.

Referencias:

Unitronics VisiLogic OPLC IDE Vulnerabilities

Support

Etiquetas:

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en VisiLogic OPLC IDE

Múltiples vulnerabilidades en dispositivos Phoenix Contact

Múltiples vulnerabilidades en protocolo de telemetría Conexus de Medtronic

Múltiples vulnerabilidades en Field Xpert de ENDRESS+HAUSER

Múltiples vulnerabilidades en móviles ecom de PEPPERL+FUCHS

Vulnerabilidad de elemento de ruta de búsqueda no controlado en Sentinel UltraPro de Gemalto