Inicio / Content / Boletín de INCIBE-CERT del 22-06-2021

Boletín de INCIBE-CERT del 22-06-2021

[Actualización 30/07/2021] Múltiples vulnerabilidades en CodeMeter Runtime de Wibu Systems

Fecha de publicación: 
16/06/2021
Importancia: 
5 - Crítica
Recursos afectados: 

CodeMeter Runtime, todas las versiones.

[Actualización 22/06/2021]

  • Automation Builder (AB), versión 2.4.1.1062 y anteriores;
  • Drive Application Builder (DAB), versión 1.1.1.631 y anteriores;
  • Virtual Drive, versión 1.0.2.105 y anteriores.
Descripción: 

El equipo de Tenable ha identificado 2 vulnerabilidades, una con severidad crítica y otra alta, cuya explotación podría permitir revelar el contenido de la memoria heap o realizar un ataque de DoS.

Solución: 

Actualizar CodeMeter Runtime a la versión 7.21a.

Detalle: 
  • Un atacante remoto y no autenticado podría enviar un paquete TCP/IP, especialmente diseñado, para que el servidor de red de CodeMeter Runtime (puerto predeterminado 22350) devuelva paquetes que contienen datos de la memoria heap o bloquear el servidor de tiempo de ejecución de CodeMeter. Se ha asignado el identificador CVE-2021-20093 para esta vulnerabilidad crítica.
  • Un atacante no autenticado, con acceso directo al puerto de CmWAN (22351), podría enviar una solicitud HTTP(S), especialmente diseñada, al servidor de CodeMeter Runtime CmWAN para que el servidor de CodeMeter Runtime se bloquee. Un atacante podría explotar esta vulnerabilidad desde una red externa al servidor CmWAN siempre y cuando estuviese autenticado. Se ha asignado el identificador CVE-2021-20094 para esta vulnerabilidad alta.

Encuesta valoración