Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Fecha de publicación:

20/07/2017

Importancia:

3 - Media

Recursos afectados:

GP Pro EX, versión 4.07.000

Descripción:

El investigador Karn Ganeshen ha identificado una vulnerabilidad de secuestro de DLL en el producto Pro-face GP-Pro EX de Schneider Electric. Un potencial atacante podría conseguir la ejecución de código arbitrario dentro del sistema.

Solución:

Schneider Electric ha publicado la versión 4.07.100 que resuelve esta vulnerabilidad. Esta nueva versión puede descargarse en: https://www.proface.com/en/download/trial/gpproex/v40.

Detalle:

Un potencial atacante con acceso al dispositivo puede situar un fichero DLL/OCX y forzar al producto afectado a su carga, permitiéndole la ejecución de código arbitrario en el contexto del programa. Se ha reservado el identificador CVE-2017-9961 para esta vulnerabilidad.

Referencias:

Security Notification – Pro - face GP - Pro EX

Schneider Electric Pro-face GP-Pro EX

Etiquetas:

SCADA

Schneider Electric

Vulnerabilidad

Accesos corporativos

Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Múltiples vulnerabilidades en router Robustel R1510

Múltiples vulnerabilidades en Distributed Data Systems WebHMI

Autenticación incorrecta en Exemys RME1

Múltiples vulnerabilidades en Advantech iView

Múltiples vulnerabilidades en Elcomplus SmartICS