Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos de Phoenix Contact

In Noticias y Avisos CiberseguridadPosted
MĂșltiples vulnerabilidades en productos de Phoenix Contact
Mar, 08/08/2023 – 09:14

Aviso SCI
Recursos Afectados
  • PLCnext Engineer, versiones iguales o anteriores a 2023.3;
  • CLOUD CLIENT 1101T-TX/TX, versiones anteriores a 2.06.10;
  • TC CLOUD CLIENT 1002-4G, versiones anteriores a 2.07.2;
  • TC CLOUD CLIENT 1002-4G ATT, versiones anteriores a 2.07.2;
  • TC CLOUD CLIENT 1002-4G VZW, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G ATT, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G VZW, versiones anteriores a 2.07.2.
DescripciĂłn

CERT@VDE ha  informado y coordinado la publicación de varias vulnerabilidades descubiertas en productos de Phoenix Contact, incluyendo dispositivos TC ROUTER, TC CLOUD CLIENT, CLOUD CLIENT y PLCnext Engineer, que podrían permitir a un atacante una ejecución de código en el contexto del navegador del usuario, una ejecución remota de código, el robo de datos o impedir que el sistema funcione correctamente.

5 – CrĂ­tica
SoluciĂłn

Phoenix Contact recomienda encarecidamente actualizar a la Ășltima versiĂłn de firmware disponible de los dispositivos TC ROUTER, TC CLOUD CLIENT y CLOUD CLIENT, asĂ­ como a la versiĂłn 2023.6 de PLCnext Engineer.

Detalle

En los dispositivos PLCnext Engineer se utiliza la biblioteca LibGit2Sharp que contiene diferentes vulnerabilidades, permitiendo la mås crítica, la utilización de archivos git especialmente diseñados conducen a una ejecución remota de código. Se ha asignado el CVE-2019-1353 para esta vulnerabilidad.

En los dispositivos TC ROUTER, TC CLOUD CLIENT y CLOUD CLIENT la vulnerabilidad mĂĄs crĂ­tica permitirĂ­a a un atacante remoto no autenticado usar un XSS reflejado dentro de la pĂĄgina del visor de licencias de los dispositivos. Se ha asignado el CVE-2023-3526 para esta vulnerabilidad.

El resto de identificadores CVE no crĂ­ticos pueden consultarse en los avisos del CERT@VDE.

Listado de referencias
VDE-2023-016: PHOENIX CONTACT: Vulnerabilidades de PLCnext Engineer en LibGit2Sharp/LibGit2
VDE-2023-017: PHOENIX CONTACT: Multiple vulnerabilities in TC ROUTER, TC CLOUD CLIENT and CLOUD CLIENT devices

Etiquetas

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.