Múltiples vulnerabilidades en productos Endress+Hauser

Fecha de publicación: 03/06/2022

Importancia:
Crítica

Recursos afectados:

• DeviceCare, versiones 1.02.xx <= 1.07.06;
• FieldCare, versiones 2.15.xx <= 2.16.xx;
• Field Data Manager, versiones 1.4.0 <= 1.6.2;
• Field Xpert, versiones 1.03.xx <= 1.05.xx;
• Proline Promag W 800 OPC/UA Connectivity Server, versión 1.3.7926;
• SupplyCare Enterprise, versiones 3.0.x <= 3.4.x.

Descripción:

CERT@VDE, coordinado con ENDRESS+HAUSER, ha publicado un aviso que recoge 8 vulnerabilidades: 1 de severidad crítica, 3 altas y 3 medias. La explotación de las vulnerabilidades podría permitir: lectura fuera de límites, uso de memoria después de ser liberada, validación incorrecta de certificado, uso de enlaces simbólicos maliciosos o XSS.

Solución:

Actualizar a:

• SupplyCare Enterprise, versión 3.5.1 o superiores;
• DeviceCare, versión 1.07.07 o superiores;
• FieldCare, versión 2.17.00 o superiores;
• Field Xpert, versión 1.06.00 o superiores;
• Field Data Manager, versión 1.6.3 o superiores;
• Proline Promag W 800 OPC/UA Connectivity Server, versiones superiores a 1.3.7926.

Detalle:

Existe una vulnerabilidad de lectura fuera de los límites del búfer en las versiones de Wibu-Systems CodeMeter anteriores a 7.21a. Un atacante remoto, no autenticado, podría revelar el contenido de la memoria de la pila o bloquear el servidor de tiempo de ejecución de CodeMeter. Se ha asignado el identificador CVE-2021-20093 para la vulnerabilidad crítica.

Para el resto de vulnerabilidades no críticas se han asignado los identificadores: CVE-2021-22901, CVE-2020-8286, CVE-2021-20094, CVE-2021-41057, CVE-2021-41182, CVE-2021-41183 y CVE-2021-41184.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad