Inicio / Content / Boletín de INCIBE-CERT del 22-07-2020

Boletín de INCIBE-CERT del 22-07-2020

Vulnerabilidad en PLCnext Engineer de Phoenix Contact

Fecha de publicación: 
22/07/2020
Importancia: 
4 - Alta
Recursos afectados: 

PLCnext Engineer (1046008) 2020.3.1 y anteriores

Descripción: 

CERT@VDE ha publicado una vulnerabilidad del tipo limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal) en productos Phoenix Contact que podría permitir a un atacante la ejecución remota de código.

Solución: 

Actualizar a PLCnext Engineer 2020.6 o superior.

Detalle: 

Los parámetros de construcción de un proyecto de PLCnext Engineer (.pcwex) pueden ser manipulados por un atacante con acceso al proyecto, lo que podría permitir la ejecución remota de código. Se ha asignado el identificador CVE-2020-12499 para esta vulnerabilidad.

Encuesta valoración