Fecha de publicación: 20/04/2022
Importancia:
Media
Recursos afectados:
ROBOGUIDE, versiones 9.40083.00.05 (Rev T) y anteriores.
Descripción:
El investigador Sharon Brizinov, con Claroty, ha notificado 5 vulnerabilidades de severidad media en ROBOGUIDE de FANUC, cuya explotación podría permitir a un atacante causar una denegación de servicio (DoS), realizar una ejecución remota de código o escalar privilegios de forma no autorizada.
Solución:
Actualizar a la versión ROBOGUIDE 9 Rev U o superiores.
Detalle:
- El producto afectado es vulnerable a binarios mal configurados, lo que podría permitir a los usuarios del equipo de destino con acceso de nivel SYSTEM sobrescribir el binario y modificar los archivos para realizar una escalada de privilegios. Se ha asignado el identificador CVE-2021-38483 para esta vulnerabilidad.
- El programa de instalación del producto afectado configura sus archivos y carpetas con acceso total, lo que podría permitir a usuarios no autorizados reemplazar los binarios originales y realizar una escalada de privilegios. Se ha asignado el identificador CVE-2021-43986 para esta vulnerabilidad.
- El producto afectado es vulnerable a un ataque basado en la red por parte de un atacante, que podría utilizar convenciones de nomenclatura de archivos especialmente diseñadas para obtener accesos no autorizados. Se ha asignado el identificador CVE-2021-43988 para esta vulnerabilidad.
- El producto afectado es vulnerable a un ataque basado en la red por parte de un atacante que suministra un payload XML malicioso, diseñado para activar una llamada de referencia a una entidad externa (XXE). Se ha asignado el identificador CVE-2021-43990 para esta vulnerabilidad.
- El producto afectado es vulnerable a un ataque basado en la red por parte de un atacante, que envía solicitudes sin restricciones al servidor receptor, lo que podría causar una condición de denegación de servicio (DoS), debido a la falta de recursos de memoria del montículo (heap). Se ha asignado el identificador CVE-2021-43933 para esta vulnerabilidad.
Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.