Múltiples vulnerabilidades en productos de Pilz GmbH & Co. KG
Recursos Afectados
- PIT gb RLLE y down ETH, versiones anteriores a 02.02.00.
- PIT gb RLLE y up ETH, versiones anteriores a 02.02.00.
- PITreader base unit (HR 01), versiones anteriores a 01.05.04.
- PITreader base unit (HR 02), versiones anteriores a 02.02.00.
- PITreader card unit, versiones anteriores a 02.02.00.
- PITreader S base unit, versiones anteriores a 02.02.00.
- PITreader S card unit, versiones anteriores a 02.02.00.
Descripción
El CERT@VDE, en coordinación con Pilz, han reportado seis vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante obtener el control total del sistema.
5 – Crítica
Solución
Pilz recomienda instalar la última versión de firmware disponible.
Detalle
- CVE-2023-24585: vulnerabilidad de escritura fuera de los límites. Un paquete de red especialmente diseñado podría dañar la memoria.
- CVE-2023-25181: vulnerabilidad de desbordamiento de búfer basada en montículo. Un conjunto de paquetes de red especialmente diseñado puede conducir a la ejecución de código arbitrario. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
- CVE-2023-27882: vulnerabilidad de desbordamiento de búfer basada en montículo. Un paquete de red especialmente diseñado puede conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
- CVE-2023-28391: vulnerabilidad de corrupción de memoria en la funcionalidad de análisis del encabezado del servidor HTTP de Weston Embedded uC-HTTP v3.01.01. Los paquetes de red especialmente diseñados pueden conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
- CVE-2023-28379: vulnerabilidad de corrupción de memoria en la funcionalidad de límite de forma del servidor HTTP de Weston Embedded uC-HTTP v3.01.01. Un paquete de red especialmente diseñado puede conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
- CVE-2023-31247: vulnerabilidad de corrupción de memoria en la funcionalidad de análisis del encabezado HTTP Server Host de Weston Embedded uC-HTTP v3.01.01. Un paquete de red especialmente diseñado puede provocar la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
Listado de referencias
Etiquetas
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.