Inicio / Content / Boletín de INCIBE-CERT del 18-03-2022

Boletín de INCIBE-CERT del 18-03-2022

Ejecución de código en productos de B&R Industrial Automation

Fecha de publicación: 
18/03/2022
Importancia: 
5 - Crítica
Recursos afectados: 
  • B&R APROL AutoYaST: versiones V4.2-064.0.21100 y anteriores;
  • Apache Directory Studio (via APROL AutoYaST): versiones V4.2-064.0.211004 y anteriores;
  • Squirrel-sql: versiones 3.9.0 y anteriores;
  • JSignPDF: versiones 1.6.4 y anteriores;
  • JasperReports-Server: versiones 7.1.3 y anteriores;
  • Jaspersoft Studio Pro: versiones 7.1.0 y anteriores.
Descripción: 
B&R Industrial Automation ha reportado una vulnerabilidad crítica, por la que un atacante podría realizar una ejecución de código.
Solución: 
  • B&R APROL AutoYaST, versiones V4.2-064.0.211004 y anteriores, actualizar a V4.2-064.0.220131;
  • Apache Directory Studio (via APROL AutoYaST), versiones V4.2-064.0.211004 y anteriores, actualizar a via APROL AutoYaST V4.2-064.0.220131;
  • Squirrel-sql, versiones 3.9.0 via APROL y anteriores, actualizar a V4.2-064.0.220131;
  • JSignPDF, versión 1.6.4, actualizar a 2.1.0 via APROL R4.2-06 P8, planificado para segundo trimestre 2022;
  • JasperReports-Server, versiones 7.1.3 y anteriores, actualizar a 7.9.1, planificado para tercer trimestre 2022;
  • Jaspersoft Studio Pro, versiones 7.1.0 y anteriores, planificado para tercer trimestre 2022.
Detalle: 

Las versiones del componente de software de terceros Apache Chainsaw <2.1.0 están afectadas por un problema de deserialización, que forma parte del componente de software de terceros Apache Log4j, versiones 1.x. Se ha asignado el identificador CVE-2022-23307 para esta vulnerabilidad.

Encuesta valoración