Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de inyección de código en ProClima, de Schneider Electrics

Vulnerabilidad de inyección de código en ProClima, de Schneider Electrics

Fecha de publicación: 
17/12/2014
Importancia: 
5 - Crítica
Recursos afectados: 
  • Versión 6.0.1 de ProClima y anteriores.
Descripción: 

La Zero Day Initiative (ZDI) de HP ha reportado varias vulnerabilidades que permiten la ejecución remota de código en el software ProClima de Schneider Electric.

Solución: 

Schneider Electric ha lanzado una actualización del software ProClima, la 6.1.7, que solventa estas vulnerabilidades.

Para la actualización de la versión es importante desinstalar la versión antigua del software.

Detalle: 

Mediante la explotación de estas vulnerabilidades, un atacante remoto podría ejecutar código arbitrario en el sistema afectado.

El control MDraw30.ocx puede ser iniciado por un script malicioso causando un desbordamiento de búfer, lo que puede provocar la ejecución de código de forma remota. Del mismo modo, el control Atx45.ocx también puede ser iniciado por scripts maliciosos con idénticos resultados.

Se han reservado los siguientes códigos para estas vulnerabilidades: CVE-2014-8513, CVE-2014-8514, CVE-2014-9188, CVE-2014-8511 y CVE-2014-8512.