Múltiples vulnerabilidades en productos WAGO

Múltiples vulnerabilidades en productos WAGO
Mar, 01/08/2023 – 08:54

Recursos Afectados
  • WAGO WLAN ETHERNET Gateway, todas las versiones.
  • Versiones de firmware 25 y anteriores de los productos:
    • Compact Controller 100,
    • EC 300,
    • PFC100,
    • PFC200,
    • TP 600.
Descripción

El fabricante WAGO, en coordinación con el CERT@VDE, ha publicado 17 vulnerabilidades que afectan a varios productos, 14 de severidad alta y 3 medias.

4 – Alta
Solución
  • Para la vulnerabilidad CVE-2022-25836, no está planeado publicar una actualización de firmware para solucionarlo, únicamente se puede deshabilitar Bluetooth LE en caso de no estar en uso.
  • Para el resto de vulnerabilidades, la actualización de firmware está planeada para el primer trimestre de 2024. Hasta entonces, se recomienda aplicar las medidas descritas en el apartado ‘Mitigation‘ del aviso VDE-2023-026.
Detalle

Los tipos de vulnerabilidades se listan a continuación:

  • omisión de autenticación (CVE-2022-25836);
  • escritura fuera de los límites del búfer (CVE-2022-47390, CVE-2022-47379, CVE-2022-47380, CVE-2022-47381, CVE-2022-47382, CVE-2022-47383, CVE-2022-47384, CVE-2022-47385, CVE-2022-47386, CVE-2022-47387, CVE-2022-47388 y CVE-2022-47389);
  • validación incorrecta de datos de entrada (CVE-2022-47391, CVE-2022-47392 y CVE-2022-47378);
  • restricción incorrecta de operaciones dentro del búfer (CVE-2022-47393).

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.