Fecha de publicaciĂłn: 13/02/2023
Importancia:
CrĂtica
Recursos afectados:
- Drive Composer Entry, versiones:
- 2.8 y anteriores (CVE-2018-1285, CVE-2022-35737, CVE-2021-27293 y CVE-2022-37434);
- 2.4 y anteriores (CVE-2018-1002205).
- Drive Composer Pro, versiones:
- 2.8 y anteriores (CVE-2018-1285, CVE-2022-35737, CVE-2021-27293 y CVE-2022-37434);
- 2.4Â y anteriores (CVE-2018-1002205).
DescripciĂłn:
Se han identificado 5 vulnerabilidades en Drive Composer de ABB, 2 de severidad crĂtica, 2 altas y 1 media. La explotaciĂłn de estas vulnerabilidades podrĂa permitir a un atacante tomar el control del producto, o insertar y ejecutar cĂłdigo arbitrario.
SoluciĂłn:
- La vulnerabilidad CVE-2022-35737 se solucionarĂĄ en una nueva versiĂłn de Drive Composer durante 2023.
- El resto de vulnerabilidades se corrigen con la versiĂłn 2.8.1 (la vulnerabilidad CVE-2018-1002205 ya estĂĄ solucionada en la versiĂłn 2.5).
Detalle:
Las vulnerabilidades crĂticas se describen a continuaciĂłn:
- Se podrĂan realizar ataques basados en XXE (XML External Entity) en aplicaciones que aceptan archivos de configuraciĂłn log4net controlados por atacantes, ya que las versiones mĂĄs antiguas de Apache log4net no deshabilitan las entidades externas XML al analizar sus archivos de configuraciĂłn. Se ha asignado el identificador CVE-2018-1285 para esta vulnerabilidad.
- La librerĂa inflate.c es vulnerable a una lectura fuera de lĂmites o desbordamiento de bĂșfer basado en memoria (heap), a travĂ©s de un campo extra de encabezado gzip excesivamente grande. Se ha asignado el identificador CVE-2022-37434 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2018-1002205, CVE-2022-35737 y CVE-2021-27293.
Etiquetas:
ActualizaciĂłn, Apache, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.