Inicio / Content / Boletín de INCIBE-CERT del 02-08-2019

Boletín de INCIBE-CERT del 02-08-2019

Escritura fuera de límites en WebAccess HMI Designer de Advantech

Fecha de publicación: 
02/08/2019
Importancia: 
4 - Alta
Recursos afectados: 

Advantech WebAccess HMI Designer versión 2.1.9.23 y anteriores.

Descripción: 

Mat Powell, de Zero Day Initiative (ZDI), ha reportado una vulnerabilidad de tipo escritura fuera de límites que afecta al software WebAccess HMI Designer de Advantech. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto la ejecución de código arbitrario.

Solución: 

Advantech ha publicado la versión 2.1.9.31 de WebAccess HMI Designer, que soluciona esta vulnerabilidad.

Detalle: 

Debido a una validación inadecuada de los datos proporcionados por el usuario a la hora de procesar archivos MCR especialmente diseñados, el sistema podría escribir fuera del área de búfer prevista, permitiendo la ejecución remota de código. Se ha asignado el identificador CVE-2019-10961 para esta vulnerabilidad.

Encuesta valoraciĂ³n

Lectura fuera de límites en FRENIC Loader de Fuji Electric

Fecha de publicación: 
02/08/2019
Importancia: 
2 - Baja
Recursos afectados: 

FRENIC Loader versión 3.5.0.0 y anteriores.

Descripción: 

Kimiya de 9SG Security Team, en colaboración con Zero Day Initiative (ZDI), ha reportado una vulnerabilidad de tipo lectura fura de límites que afecta a FRENIC Loader de Fuji Electric. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante la divulgación de información.

Solución: 

Fuji Electric ha publicado una nueva versión de FRENIC Loader que soluciona esta vulnerabilidad.

Detalle: 

El producto afectado es vulnerable a una lectura fuera de límites, lo que podría permitir a un atacante la lectura de información limitada del dispositivo. Se ha asignado el identificador CVE-2019-13512 para esta vulnerabilidad.

Encuesta valoraciĂ³n

Múltiples vulnerabilidades en Arena Simulation Software de Rockwell Automation

Fecha de publicación: 
02/08/2019
Importancia: 
4 - Alta
Recursos afectados: 

Arena Simulation Software para Manufacturing, Cat. 9502-Ax, versiones 16.00.00 y anteriores.

Descripción: 

El investigador kimiya, de 9SG Security Team, conjuntamente con Zero Day Initiative (ZDI), han reportado varias vulnerabilidades de tipo uso de memoria después de ser liberada, exposición de información, [Actualización 06/09/2019] confusión del tipo de dato e insuficiente aviso del UI en operaciones peligrosas, que afectan al producto Arena Simulation Software de Rockwell Automation. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante provocar un fallo en la sesión, dando lugar a una condición de denegación de servicio (DoS) o a la ejecución de código arbitrario.

Solución: 

Rockwell Automation ha publicado la versión 16.00.01 de Arena Simulation Software para solucionar estas vulnerabilidades.

Detalle: 
  • Un fichero Arena especialmente diseñado, abierto por un usuario, podría provocar un fallo en la aplicación o la ejecución de código arbitrario. Se ha reservado el identificador CVE-2019-13510 para esta vulnerabilidad.
  • Un fichero Arena especialmente diseñado, abierto por un usuario, podría provocar la exposición de información limitada relacionada con la estación de trabajo víctima del ataque. Se ha reservado el identificador CVE-2019-13511 para esta vulnerabilidad.

[Actualización 06/09/2019]

  • Un archivo Arena, especialmente diseñado y abierto por un usuario desprevenido, puede dar lugar a una exposición limitada de la información relacionada con la estación de trabajo. Se ha reservado el identificador CVE-2019-13519 para esta vulnerabilidad.
  • Un archivo Arena, especialmente diseñado y abierto por un usuario desprevenido, puede provocar una exposición limitada de la información relacionada con la estación de trabajo víctima del ataque. Se ha reservado el identificador CVE-2019-13521 para esta vulnerabilidad.

Encuesta valoración