Home / Node / Boletín de INCIBE-CERT del 06-11-2020

Boletín de INCIBE-CERT del 06-11-2020

Múltiples vulnerabilidades en Mitsubishi Electric GT14 de las series GOT1000

Publication date: 
11/06/2020
Importance: 
5 - Crítica
Affected resources: 

Los siguientes modelos de GOT1000 con CoreOS, versión 05.65.00.BD y anteriores, se ven afectados:

  • GT1455-QTBDE,
  • GT1450-QMBDE,
  • GT1450-QLBDE,
  • GT1455HS-QTBDE,
  • GT1450HS-QMBDE.
Description: 

Mitsubishi Electric ha reportado 6 vulnerabilidades al CISA, 2 con severidad crítica, 3 altas y 1 media, de tipo restricción incorrecta de operaciones dentro de los límites de un búfer de memoria, control de acceso inadecuado, fijación de sesión, desreferencia a puntero nulo, inyección de argumento y errores de gestión de recursos.

Solution: 

Siguiendo los pasos descritos en el aviso 2020-014_en del fabricante, actualizar Core OS a la versión 05.76.00.BG y posteriores (MELSOFT GT Designer3 Version1 [GOT1000], versión 1.245F y posteriores).

Detail: 

Las vulnerabilidades de severidad crítica se describen a continuación:

  • El producto afectado tiene una vulnerabilidad de corrupción de memoria, que podría permitir que un atacante enviase un paquete, especialmente diseñado, que podría resultar en una condición de denegación de servicio (DoS) o ejecución de código. Se ha asignado el identificador CVE-2020-5644 para esta vulnerabilidad.
  • El producto afectado tiene un problema de control de acceso, que podría permitir que un atacante enviase un paquete, especialmente diseñado, que podría resultar en una condición de denegación de servicio (DoS) o ejecución de código. Se ha asignado el identificador CVE-2020-5647 para esta vulnerabilidad.

Para el resto de vulnerabilidades, se han asignado los siguientes identificadores: CVE-2020-5645, CVE-2020-5646, CVE-2020-5648 y CVE-2020-5649.

Encuesta valoración

Desbordamiento de búfer en PLC Editor de WECON

Publication date: 
11/06/2020
Importance: 
4 - Alta
Affected resources: 
  • PLC Editor, versiones 1.3.8 y anteriores.
Description: 

Natnael Samson y Francis Provencher, junto con Trend Micro’s Zero Day Initiative, han reportado estas vulnerabilidades, de severidad alta, al CISA.

Solution: 

WECON está desarrollando una solución, para más información puede contactar con WECON desde el portal web .

Detail: 
  • Una vulnerabilidad de desbordamiento de búfer basado en pila (stack) podría permitir a un atacante la ejecución arbitraria de código. Se ha asignado el identificador CVE-2020-25177 para esta vulnerabilidad.
  • Una vulnerabilidad de desbordamiento de búfer en la región heap de la memoria podría permitir a un atacante la ejecución arbitraria de código. Se ha asignado el identificador CVE-2020-25181 para esta vulnerabilidad.

Encuesta valoración