Inicio / Alerta Temprana / Avisos Sci / Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Fecha de publicación: 
20/07/2017
Importancia: 
3 - Media
Recursos afectados: 
  • GP Pro EX, versión 4.07.000
Descripción: 

El investigador Karn Ganeshen ha identificado una vulnerabilidad de secuestro de DLL en el producto Pro-face GP-Pro EX de Schneider Electric. Un potencial atacante podría conseguir la ejecución de código arbitrario dentro del sistema.

Solución: 

Schneider Electric ha publicado la versión 4.07.100 que resuelve esta vulnerabilidad. Esta nueva versión puede descargarse en: https://www.proface.com/en/download/trial/gpproex/v40.

Detalle: 

Un potencial atacante con acceso al dispositivo puede situar un fichero DLL/OCX y forzar al producto afectado a su carga, permitiéndole la ejecución de código arbitrario en el contexto del programa. Se ha reservado el identificador CVE-2017-9961 para esta vulnerabilidad.