Múltiples vulnerabilidades en productos Endress+Hauser

Fecha de publicación: 03/06/2022

Importancia:
Crítica

Recursos afectados:

  • DeviceCare, versiones 1.02.xx <= 1.07.06;
  • FieldCare, versiones 2.15.xx <= 2.16.xx;
  • Field Data Manager, versiones 1.4.0 <= 1.6.2;
  • Field Xpert, versiones 1.03.xx <= 1.05.xx;
  • Proline Promag W 800 OPC/UA Connectivity Server, versión 1.3.7926;
  • SupplyCare Enterprise, versiones 3.0.x <= 3.4.x.

Descripción:

CERT@VDE, coordinado con ENDRESS+HAUSER, ha publicado un aviso que recoge 8 vulnerabilidades: 1 de severidad crítica, 3 altas y 3 medias. La explotación de las vulnerabilidades podría permitir: lectura fuera de límites, uso de memoria después de ser liberada, validación incorrecta de certificado, uso de enlaces simbólicos maliciosos o XSS.

Solución:

Actualizar a:

  • SupplyCare Enterprise, versión 3.5.1 o superiores;
  • DeviceCare, versión 1.07.07 o superiores;
  • FieldCare, versión 2.17.00 o superiores;
  • Field Xpert, versión 1.06.00 o superiores;
  • Field Data Manager, versión 1.6.3 o superiores;
  • Proline Promag W 800 OPC/UA Connectivity Server, versiones superiores a 1.3.7926.

Detalle:

Existe una vulnerabilidad de lectura fuera de los límites del búfer en las versiones de Wibu-Systems CodeMeter anteriores a 7.21a. Un atacante remoto, no autenticado, podría revelar el contenido de la memoria de la pila o bloquear el servidor de tiempo de ejecución de CodeMeter. Se ha asignado el identificador CVE-2021-20093 para la vulnerabilidad crítica.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2021-22901, CVE-2020-8286, CVE-2021-20094, CVE-2021-41057, CVE-2021-41182, CVE-2021-41183 y CVE-2021-41184.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.