Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Fecha de publicación:

20/07/2017

Importancia:

3 - Media

Recursos afectados:

GP Pro EX, versión 4.07.000

Descripción:

El investigador Karn Ganeshen ha identificado una vulnerabilidad de secuestro de DLL en el producto Pro-face GP-Pro EX de Schneider Electric. Un potencial atacante podría conseguir la ejecución de código arbitrario dentro del sistema.

Solución:

Schneider Electric ha publicado la versión 4.07.100 que resuelve esta vulnerabilidad. Esta nueva versión puede descargarse en: https://www.proface.com/en/download/trial/gpproex/v40.

Detalle:

Un potencial atacante con acceso al dispositivo puede situar un fichero DLL/OCX y forzar al producto afectado a su carga, permitiéndole la ejecución de código arbitrario en el contexto del programa. Se ha reservado el identificador CVE-2017-9961 para esta vulnerabilidad.

Referencias:

Security Notification – Pro - face GP - Pro EX

Schneider Electric Pro-face GP-Pro EX

Etiquetas:

SCADA

Schneider Electric

Vulnerabilidad

Accesos corporativos

Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Denegación de servicio en 4CCT

Autenticación inapropiada en 4CCT

Múltiples vulnerabilidades en productos Fuji Electric

Consumo incontrolado de recursos en controladores MELFA de Mitsubishi Electric

Múltiples vulnerabilidades en OPC UA Tunneller de Matrikon