Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad en PLCnext Engineer de Phoenix Contact

Vulnerabilidad en PLCnext Engineer de Phoenix Contact

Fecha de publicación: 
22/07/2020
Importancia: 
4 - Alta
Recursos afectados: 

PLCnext Engineer (1046008) 2020.3.1 y anteriores

Descripción: 

CERT@VDE ha publicado una vulnerabilidad del tipo limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal) en productos Phoenix Contact que podría permitir a un atacante la ejecución remota de código.

Solución: 

Actualizar a PLCnext Engineer 2020.6 o superior.

Detalle: 

Los parámetros de construcción de un proyecto de PLCnext Engineer (.pcwex) pueden ser manipulados por un atacante con acceso al proyecto, lo que podría permitir la ejecución remota de código. Se ha asignado el identificador CVE-2020-12499 para esta vulnerabilidad.

Encuesta valoración