Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Fecha de publicación:

20/07/2017

Importancia:

3 - Media

Recursos afectados:

GP Pro EX, versión 4.07.000

Descripción:

El investigador Karn Ganeshen ha identificado una vulnerabilidad de secuestro de DLL en el producto Pro-face GP-Pro EX de Schneider Electric. Un potencial atacante podría conseguir la ejecución de código arbitrario dentro del sistema.

Solución:

Schneider Electric ha publicado la versión 4.07.100 que resuelve esta vulnerabilidad. Esta nueva versión puede descargarse en: https://www.proface.com/en/download/trial/gpproex/v40.

Detalle:

Un potencial atacante con acceso al dispositivo puede situar un fichero DLL/OCX y forzar al producto afectado a su carga, permitiéndole la ejecución de código arbitrario en el contexto del programa. Se ha reservado el identificador CVE-2017-9961 para esta vulnerabilidad.

Referencias:

Security Notification – Pro - face GP - Pro EX

Schneider Electric Pro-face GP-Pro EX

Etiquetas:

SCADA

Schneider Electric

Vulnerabilidad

Accesos corporativos

Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Vulnerabilidad de XSS en productos Ellipse APM de Hitachi ABB Power Grids

Múltiples vulnerabilidades en conmutadores Stratix de Rockwell Automation

Múltiples vulnerabilidades en productos de Delta Electronics

Múltiples vulnerabilidades en productos Meinberg con LANTIME firmware

Múltiples vulnerabilidades en OpENer EtherNet/IP de EIPStackGroup