Inicio / Content / Boletín de INCIBE-CERT del 18-10-2019

Boletín de INCIBE-CERT del 18-10-2019

Vulnerabilidad en múltiples productos de Eaton

Fecha de publicación: 
18/10/2019
Importancia: 
4 - Alta
Recursos afectados: 
  • CGLine+ Web Controller, versión Z1000.H y anteriores,
  • CGVision, versiones desde la 6.02 hasta la 6.40.
Descripción: 

Eaton ha reportado una vulnerabilidad que afecta a CGLine+ Web Controller cuando se conecta al software de supervisión CGVision. 

Solución: 
  • CGLine+ Web Controller, actualizar a la versión  Z1000.J. Para poder descargar la nueva versión del firmware, han de ponerse en contacto con el servicio de atención de Eaton.
  • CGVision, está prevista una actualización para noviembre de 2019.
Detalle: 

A la hora de conectar el software de supervisión CGVision al dispositivo CGLine+ Web Controller, se genera una vulnerabilidad que afecta a ambos dispositivos. Los dispositivos CGLine+ Web Controller, que no están conectados o supervisados por el CGVision, no se ven afectados por dicha vulnerabilidad.

Encuesta valoración

Múltiples vulnerabilidades en Cscape de Horner Automation

Fecha de publicación: 
18/10/2019
Importancia: 
4 - Alta
Recursos afectados: 

Cscape, versión 9.90 y anteriores.

Descripción: 

El investigador Francis Provencher, de Protek Research Lab, junto con Zero Day Initiative de Trend Micro, han reportado vulnerabilidades de tipo escritura fuera de límites y validación de entradas inadecuada, las cuales permitirían el acceso a información y ejecución de código de forma arbitraria.

Solución: 

Horner Automation recomienda a los usuarios afectados actualizar a la versión 9.90 SP1 o superior de Cscape, disponibles para Estados Unidos o el resto del mundo.

Detalle: 
  • Una incorrecta validación en el procesamiento de archivos podría permitir a un atacante crear archivos especialmente diseñados, lo que permitiría el acceso a información confidencial o la ejecución remota de código arbitrario. Se ha reservado el identificador CVE-2019-13541 para esta vulnerabilidad.
  • Una validación incorrecta de los datos puede hacer que el sistema escriba fuera de la zona de búfer prevista, lo que puede permitir la ejecución arbitraria del código por parte de un atacante. Se ha reservado el identificador CVE-2019-13545 para esta vulnerabilidad.

Encuesta valoración