Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Fecha de publicación:

20/07/2017

Importancia:

3 - Media

Recursos afectados:

GP Pro EX, versión 4.07.000

Descripción:

El investigador Karn Ganeshen ha identificado una vulnerabilidad de secuestro de DLL en el producto Pro-face GP-Pro EX de Schneider Electric. Un potencial atacante podría conseguir la ejecución de código arbitrario dentro del sistema.

Solución:

Schneider Electric ha publicado la versión 4.07.100 que resuelve esta vulnerabilidad. Esta nueva versión puede descargarse en: https://www.proface.com/en/download/trial/gpproex/v40.

Detalle:

Un potencial atacante con acceso al dispositivo puede situar un fichero DLL/OCX y forzar al producto afectado a su carga, permitiéndole la ejecución de código arbitrario en el contexto del programa. Se ha reservado el identificador CVE-2017-9961 para esta vulnerabilidad.

Referencias:

Security Notification – Pro - face GP - Pro EX

Schneider Electric Pro-face GP-Pro EX

Etiquetas:

SCADA

Schneider Electric

Vulnerabilidad

Accesos corporativos

Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Múltiples vulnerabilidades en DIAScreen de Delta Electronics

Credenciales embebidas en productos KR C4 de KUKA

Múltiples vulnerabilidades de G-Cam E2 y G-Code de Geutebrück

Denegación de servicio en productos Mitsubishi Electric

Múltiples vulnerabilidades en productos CODESYS