Home / Node / Boletín de INCIBE-CERT del 22-03-2022

Boletín de INCIBE-CERT del 22-03-2022

Limitación incorrecta de la ruta a un directorio restringido en SharpZipLib de Phoenix Contact

Publication date: 
03/22/2022
Importance: 
5 - Crítica
Affected resources: 
  • Cadena de herramientas de tecnología PLCnext para Windows: versiones desde 2019.0 LTS hasta la anterior a 2022.0 LTS.
  • FL Network Manager: versiones desde 4.0 hasta 6.0, ambas incluidas.
Description: 

Jaroslav Lobačevski, del equipo de GHSL, ha reportado a Phoenix Contact una vulnerabilidad, por la que un atacante podría tomar el control de un PC vulnerable, obtener acceso no autorizado a datos sensibles o afectar a la disponibilidad del sistema. El CERT@VDE ha coordinado y dado soporte a esta publicación.

Solution: 
Detail: 

SharpZipLib (o #ziplib) es una biblioteca Zip, GZip y Tar. En versiones previas a la 1.3.3 un archivo TAR de entrada ../evil.txt podría ser extraído en el directorio padre de destFolder. Se han asignado los identificadores CVE-2021-32840 y CVE-2021-32842 para esta vulnerabilidad.

Encuesta valoración