Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad en WIBU-SYSTEMS Codemeter

Vulnerabilidad en WIBU-SYSTEMS Codemeter

Fecha de publicación: 
01/02/2022
Importancia: 
4 - Alta
Recursos afectados: 
  • WAGO e!COCKPIT engineering software installation bundle, versiones anteriores a la V1.11;
  • WAGO-I/O-Pro (CODESYS 2.3) engineering software installation, versiones 2.3.9.46, 2.3.9.47, 2.3.9.49, 2.3.9.53, 2.3.9.55, 2.3.9.61 y 2.3.9.66.
Descripción: 

WAGO, en coordinación con CERT@VDE, ha publicado una vulnerabilidad en WIBU-SYSTEMS Codemeter. Todos los paquetes de instalación de e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3) existentes actualmente están afectados con versiones vulnerables.

Solución: 
  • Se recomienda a los usuarios de e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3) que actualicen WIBU-SYSTEMS Codemeter instalando la última versión disponible de WIBU-SYSTEMS Codemeter.
  • WAGO proporcionará rutinas de configuración actualizadas para e!COCKPIT (versión 1.11) con la última versión de WIBU-SYSTEMS Codemeter en el segundo trimestre de 2022. Además, WAGO proporcionará un parche de seguridad para la versión 1.10 de e!COCKPIT en febrero de 2022.
  • WAGO proporcionará rutinas de configuración actualizadas para WAGO-I/O-Pro (CODESYS 2.3) (versión 2.3.9.68) con la última versión de WIBU-SYSTEMS Codemeter en el primer trimestre de 2022.
Detalle: 

Una vulnerabilidad del tipo resolución inadecuada de enlaces antes del acceso al archivo ('Link Following'), podría permitir a un atacante sobreescribir el archivo enlazado sin comprobar los permisos, mediante la creación de un enlace simbólico de CmDongles. Se ha asignado el identificador CVE-2021-41057 para esta vulnerabilidad.

Encuesta valoración