Múltiples vulnerabilidades en WIBU-SYSTEMS CodeMeter Runtime de Wago

Múltiples vulnerabilidades en WIBU-SYSTEMS CodeMeter Runtime de Wago

Recursos Afectados
  • Todos los paquetes de instalación del software de ingeniería WAGO e!COCKPIT, versiones V1.11.2.0 y anteriores.
  • Instalación del software de ingeniería WAGO-I/O-Pro (CODESYS 2.3), desde la versión 2.3.9.45 hasta la 2.3.9.70.
Descripción

CERT@VDE ha coordinado con WAGO 2 vulnerabilidades de severidad crítica que podrían realizar una escritura fuera de los límites o una información insuficiente.

5 – Crítica
Solución

Se recomienda deshabilitar el uso del proxy SOCKS5. Para obtener más detalles sobre la mitigación de riesgos y el impacto de esta vulnerabilidad, consulte los avisos de seguridad de productos oficiales de WIBU-SYSTEMS WIBU-231024-01 y WIBU-231017-01 en el sitio web https://www.wibu.com/support/security-advisories.html.

Hasta que haya una actualización disponible para e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3), se recomienda actualizar WIBU-SYSTEMS Codemeter a la última versión independiente disponible de WIBU-SYSTEMS Codemeter.

Detalle

La vulnerabilidad CVE-2023-38545 de tipo escritura fuera de los límites podría obtener un valor incorrecto durante un protocolo de enlace SOCKS5 lento y copiar el nombre del host demasiado largo al búfer de destino en lugar de copiar solo la dirección resuelta. El búfer de destino es un búfer basado en montón y el nombre de host proviene de la URL con la que se le ha dicho a curl que opere.

La vulnerabilidad CVE-2023-24540 de tipo información insuficiente provoca un fallo en las plantillas que contienen espacios en blanco fuera del conjunto de caracteres ‘tnfru0020u2028u2029’ en contextos JavaScript, que también contienen acciones y no se desinfectan adecuadamente durante la ejecución.

Ir a la fuente
Author:
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.