Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en VisiLogic OPLC IDE

Múltiples vulnerabilidades en VisiLogic OPLC IDE

Fecha de publicación: 
13/11/2015
Importancia: 
5 - Crítica
Recursos afectados: 

Los productos afectados son los siguientes:

  • Unitronics VisiLogic OPLC IDE, versión 9.8.0.00 y anteriores
Descripción: 

Steven Seeley de Source Incite, Fritz Sands de ZDI y Andrea Micalizzi han reportado a través de la iniciativa Zero Day (Zero Day Initiative - ZDI) de HP múltiples vulnerabilidades en el producto VisiLogic OPLC IDE de Unitronics.

Solución: 

Unitronics ha publicado la versión V9.8.09 del software que corrige estas vulnerabilidades. La nueva versión puede descargarse de la página web del fabricante.

Detalle: 

Las vulnerabilidades detectadas son las siguientes:

  • Control ActiveX inseguro marcado como seguro: Existen varias instancias donde el control ActiveX debería estar restringido y está marcado como seguro. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-6478 para esta vulnerabilidad.
  • Inyección de código: Existen varias instancias donde una entrada externa puede cambiar el comportamiento de la aplicación. Esta vulnerabilidad puede ser explotada remotamente. Se ha reservado el código CVE-2015-7905 para esta vulnerabilidad.

    Otra forma de inyectar código está presente a la hora de verificar un fichero específico con una longitud de nombre no válida. Este hecho origina un desbordamiento de búfer. Se ha reservado el código CVE-2015-7939 para esta vulnerabilidad.

Etiquetas: