Múltiples vulnerabilidades en productos de Pilz GmbH & Co. KG

Múltiples vulnerabilidades en productos de Pilz GmbH & Co. KG

Recursos Afectados
  • PIT gb RLLE y down ETH, versiones anteriores a 02.02.00.
  • PIT gb RLLE y up ETH, versiones anteriores a 02.02.00.
  • PITreader base unit (HR 01), versiones anteriores a 01.05.04.
  • PITreader base unit (HR 02), versiones anteriores a 02.02.00.
  • PITreader card unit, versiones anteriores a 02.02.00.
  • PITreader S base unit, versiones anteriores a 02.02.00.
  • PITreader S card unit, versiones anteriores a 02.02.00.
Descripción

El CERT@VDE, en coordinación con Pilz, han reportado seis vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante obtener el control total del sistema.

5 – Crítica
Solución

Pilz recomienda instalar la última versión de firmware disponible.

Detalle
  • CVE-2023-24585: vulnerabilidad de escritura fuera de los límites. Un paquete de red especialmente diseñado podría dañar la memoria.
  • CVE-2023-25181: vulnerabilidad de desbordamiento de búfer basada en montículo. Un conjunto de paquetes de red especialmente diseñado puede conducir a la ejecución de código arbitrario. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-27882: vulnerabilidad de desbordamiento de búfer basada en montículo. Un paquete de red especialmente diseñado puede conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-28391: vulnerabilidad de corrupción de memoria en la funcionalidad de análisis del encabezado del servidor HTTP de Weston Embedded uC-HTTP v3.01.01. Los paquetes de red especialmente diseñados pueden conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-28379: vulnerabilidad de corrupción de memoria en la funcionalidad de límite de forma del servidor HTTP de Weston Embedded uC-HTTP v3.01.01. Un paquete de red especialmente diseñado puede conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-31247: vulnerabilidad de corrupción de memoria en la funcionalidad de análisis del encabezado HTTP Server Host de Weston Embedded uC-HTTP v3.01.01. Un paquete de red especialmente diseñado puede provocar la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.