MĂșltiples vulnerabilidades en CIMPLICITY de GE

Fecha de publicaciĂłn: 23/11/2022

Importancia:
Alta

Recursos afectados:

CIMPLICITY versiĂłn 2022 y anteriores.

DescripciĂłn:

Kimiya, en colaboraciĂłn con Trend micro Zero Day Initiative, ha reportado 5 vulnerabilidades a CISA. La explotaciĂłn exitosa de estas vulnerabilidades podrĂ­a bloquear el dispositivo al que se accede o permitir la ejecuciĂłn de cĂłdigo arbitrario.

SoluciĂłn:

GE recomienda a los usuarios que consulten la ‘GuĂ­a de implementaciĂłn segura de CIMPLICITY‘ para mitigar las vulnerabilidades informadas.

Detalle:

El producto afectado es vulnerable:

  • Cuando los datos de una direcciĂłn con errores controlan el flujo de cĂłdigo a partir de gmmiObj!CGmmiRootOptionTable, lo que podrĂ­a permitir que un atacante ejecute cĂłdigo arbitrario. Se ha asignado el identificador CVE-2022-3084 para esta vulnerabilidad.
  • Cuando los datos de una direcciĂłn con errores controlan el flujo de cĂłdigo a partir de gmmiObj!CGmmiOptionContainer, lo que podrĂ­a permitir que un atacante ejecute cĂłdigo arbitrario. Se ha asignado el identificador CVE-2022-2952 para esta vulnerabilidad.
  • A un desbordamiento de bĂșfer basado en pila, lo que podrĂ­a permitir que un atacante ejecute cĂłdigo arbitrario. Se ha asignado el identificador CVE-2022-2948 para esta vulnerabilidad.
  • Cuando los datos de la direcciĂłn incorrecta controlan el flujo de cĂłdigo a partir de gmmiObj!CGmmiOptionContainer, lo que podrĂ­a permitir que un atacante ejecute cĂłdigo arbitrario. Se ha asignado el identificador CVE-2022-2002 para esta vulnerabilidad.
  • A una escritura fuera de los lĂ­mites, lo que podrĂ­a permitir que un atacante ejecute cĂłdigo arbitrario. Se ha asignado el identificador CVE-2022-3092 para esta vulnerabilidad.

Encuesta valoraciĂłn

Etiquetas:
Infraestructuras crĂ­ticas, SCADA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.