Secuestro de DLL en Pro-face GP-Pro EX de Schneider Electric
Fecha de publicación:
20/07/2017
Importancia:
3 -
Media
Recursos afectados:
- GP Pro EX, versión 4.07.000
Descripción:
El investigador Karn Ganeshen ha identificado una vulnerabilidad de secuestro de DLL en el producto Pro-face GP-Pro EX de Schneider Electric. Un potencial atacante podría conseguir la ejecución de código arbitrario dentro del sistema.
Solución:
Schneider Electric ha publicado la versión 4.07.100 que resuelve esta vulnerabilidad. Esta nueva versión puede descargarse en: https://www.proface.com/en/download/trial/gpproex/v40.
Detalle:
Un potencial atacante con acceso al dispositivo puede situar un fichero DLL/OCX y forzar al producto afectado a su carga, permitiéndole la ejecución de código arbitrario en el contexto del programa. Se ha reservado el identificador CVE-2017-9961 para esta vulnerabilidad.
Etiquetas: