Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en XINJE XD

Múltiples vulnerabilidades en XINJE XD

Fecha de publicación: 
25/01/2023
Identificador: 
INICBE-2023-0024
Importancia: 
4 - Alta
Recursos afectados: 
  • Versión 3.5.1 y anteriores
Descripción: 

Mashav Sapir, de Claroty, ha notificado dos vulnerabilidades de severidad alta en la programación de XINJE XD, que podrían permitir a un atacante escribir en archivos de proyectos arbitrarios de un PLC y obtener privilegios de ejecución.

Solución: 

Se recomienda a los usuarios del producto afectado que se comuniquen con el soporte técnico de Xinje. 

Detalle: 

La vulnerabilidad con CVE-2021-34605 podría proporcionar a un atacante privilegios de escritura de archivo arbitrario al abrir un archivo de proyecto especialmente diseñado. Esto puede dar como resultado la ejecución remota de código, la divulgación de información y la denegación de servicio del sistema que ejecuta la herramienta de programación de PLC de la serie XINJE XD/E. 

La vulnerabilidad con CVE-2021-34606 podría permitir que un atacante local autenticado cargue una DLL maliciosa. Este podría colocar un archivo DLL malicioso en el sistema, lo que le permitiría ejecutar código arbitrario con los privilegios de la cuenta de otro usuario al ejecutar la herramienta de PLC XINJE XD/E Series.  

Encuesta valoración