Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad XML External Entity (XEE) en Studio 5000 Logix Designer de Rockwell Automation

Vulnerabilidad XML External Entity (XEE) en Studio 5000 Logix Designer de Rockwell Automation

Fecha de publicación: 
09/07/2020
Importancia: 
2 - Baja
Recursos afectados: 

Logix Designer Studio 5000, versiones 32.00, 32.01 y 32.02.

Descripción: 

Durante la competición Pwn2Own, se hizo pública una vulnerabilidad en Logix Designer Studio 5000 que podría permitir a un atacante parsear un archivo malicioso, lo que podría dar lugar a la divulgación de información.

Solución: 

Se recomienda que todos los clientes de Rockwell Automation que utilizan archivos AML o RDF no acepten archivos de fuentes desconocidas y sean cautelosos con los intentos de ingeniería social que puedan aprovecharse de esta vulnerabilidad.

Detalle: 

Las versiones 32.00, 32.01 y 32.02 de Logix Designer Studio 5000 utilizan un analizador XML de terceros que acepta de forma nativa archivos AML y RDF de cualquier entidad externa. Si se explota con éxito, un atacante no autenticado podría ser capaz de crear un archivo malicioso, que al ser analizado, podría llevar a la divulgación de información de nombres de host u otros recursos del programa. Se ha reservado el identificador CVE-2020-12025 para esta vulnerabilidad.
 

Encuesta valoración