Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Fecha de publicación:

20/07/2017

Importancia:

3 - Media

Recursos afectados:

GP Pro EX, versión 4.07.000

Descripción:

El investigador Karn Ganeshen ha identificado una vulnerabilidad de secuestro de DLL en el producto Pro-face GP-Pro EX de Schneider Electric. Un potencial atacante podría conseguir la ejecución de código arbitrario dentro del sistema.

Solución:

Schneider Electric ha publicado la versión 4.07.100 que resuelve esta vulnerabilidad. Esta nueva versión puede descargarse en: https://www.proface.com/en/download/trial/gpproex/v40.

Detalle:

Un potencial atacante con acceso al dispositivo puede situar un fichero DLL/OCX y forzar al producto afectado a su carga, permitiéndole la ejecución de código arbitrario en el contexto del programa. Se ha reservado el identificador CVE-2017-9961 para esta vulnerabilidad.

Referencias:

Security Notification – Pro - face GP - Pro EX

Schneider Electric Pro-face GP-Pro EX

Etiquetas:

SCADA

Schneider Electric

Vulnerabilidad

Accesos corporativos

Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric

Múltiples vulnerabilidades en productos de Hitachi Energy

Acceso no autorizado en Entrapass de Johnson Controls

Control de acceso inadecuado en productos Hitachi

Ejecución arbitraria de código en productos de Open Design Alliance

Múltiples vulnerabilidades en productos Moxa