- Todos los paquetes de instalaciĂłn del software de ingenierĂa WAGO e!COCKPIT, versiones V1.11.2.0 y anteriores.
- InstalaciĂłn del software de ingenierĂa WAGO-I/O-Pro (CODESYS 2.3), desde la versiĂłn 2.3.9.45 hasta la 2.3.9.70.
CERT@VDE ha coordinado con WAGO 2 vulnerabilidades de severidad crĂtica que podrĂan realizar una escritura fuera de los lĂmites o una informaciĂłn insuficiente.
Se recomienda deshabilitar el uso del proxy SOCKS5. Para obtener mĂĄs detalles sobre la mitigaciĂłn de riesgos y el impacto de esta vulnerabilidad, consulte los avisos de seguridad de productos oficiales de WIBU-SYSTEMS WIBU-231024-01 y WIBU-231017-01 en el sitio web https://www.wibu.com/support/security-advisories.html.
Hasta que haya una actualizaciĂłn disponible para e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3), se recomienda actualizar WIBU-SYSTEMS Codemeter a la Ășltima versiĂłn independiente disponible de WIBU-SYSTEMS Codemeter.
La vulnerabilidad CVE-2023-38545 de tipo escritura fuera de los lĂmites podrĂa obtener un valor incorrecto durante un protocolo de enlace SOCKS5 lento y copiar el nombre del host demasiado largo al bĂșfer de destino en lugar de copiar solo la direcciĂłn resuelta. El bĂșfer de destino es un bĂșfer basado en montĂłn y el nombre de host proviene de la URL con la que se le ha dicho a curl que opere.
La vulnerabilidad CVE-2023-24540 de tipo informaciĂłn insuficiente provoca un fallo en las plantillas que contienen espacios en blanco fuera del conjunto de caracteres ‘tnfru0020u2028u2029’ en contextos JavaScript, que tambiĂ©n contienen acciones y no se desinfectan adecuadamente durante la ejecuciĂłn.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.