Vulnerabilidades en WIBU-SYSTEMS impactan en productos Phoenix Contact

Vulnerabilidades en WIBU-SYSTEMS impactan en productos Phoenix Contact
Mar, 19/09/2023 – 09:08

Recursos Afectados
  • Phoenix Contact Activation Wizard, versiones 1.6 y anteriores;
  • PLCnext Engineer y PLCNEXT ENGINEER EDU LIC, versiones 2023.6 y anteriores;
  • FL Network Manager, versiones 7.0 y anteriores;
  • E-Mobility Charging Suite e IOL Conf, versiones 1.7.0 y anteriores;
  • MTP DESIGNER y MTP DESIGNER TRIAL, versiones 1.2.0 BETA y anteriores.
Descripción

Phoenix Contact, con la coordinación y el soporte del CERT@VDE, ha informado de 2 vulnerabilidades: una de severidad crítica y otra alta, que afectan a varios productos. Estas vulnerabilidades, de tipo denegación de servicio (DoS), se encuentran en CodeMeter de WIBU-SYSTEMS, que está incorporado en los productos afectados de Phoenix Contact.

5 – Crítica
Solución
  • Actualizar CodeMeter a la versión 7.60c.
  • Actualizar Phoenix Contact Activation Wizard a la versión 1.7 cuando esté disponible.
Detalle
  • Una vulnerabilidad crítica de desbordamiento de búfer en el servicio de red WIBU CodeMeter Runtime hasta la versión 7.60b podría permitir a un atacante remoto no autenticado ejecutar código y obtener acceso completo al sistema host. Se ha asignado el identificador CVE-2023-3935 para esta vulnerabilidad.
  • Una vulnerabilidad alta de gestión inadecuada de privilegios a través de un uso incorrecto de las API privilegiadas, en las versiones de CodeMeter Runtime anteriores a la 7.60c, podría permitir a un atacante local con pocos privilegios utilizar una llamada a la API para escalar privilegios y obtener acceso completo de administrador en el sistema host. Se ha asignado el identificador CVE-2023-4701 para esta vulnerabilidad.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.