Fecha de publicaciĂłn: 25/11/2022
Importancia:
Alta
Recursos afectados:
- PASvisu Software, versiones anteriores a 1.12.0;
- PMI v5xx, versiones 1.3.58 y anteriores;
- PMI v7xx, versiones anteriores a 2.2.0;
- PMI v8xx, versiones anteriores a 1.6.102;
- PAScal, versiones 1.9.1 y anteriores;
- PASconnect, versiones anteriores a 1.4.0;
- PASmotion, versiones anteriores a 1.4.1;
- PNOZmulti Configurator, versiones anteriores a 11.2.0;
- PNOZmulti Configurator LTS, versiones anteriores a 10.14.4;
- PAS4000, versiones anteriores a 1.25.0.
DescripciĂłn:
Pilz ha publicado, en coordinaciĂłn con el CERT@VDE, varios avisos que recogen informaciĂłn sobre 5 vulnerabilidades: 1 de severidad alta y el resto medias. Un atacante podrĂa explotar estas vulnerabilidades para escribir archivos arbitrarios, permitiendo la ejecuciĂłn de cĂłdigo.
SoluciĂłn:
- PASvisu software, PMI v7xx y PMI v8xx: configurar una contraseña de administración.
- Como medida comĂșn a todos los productos afectados, instalar la versiĂłn correctora correspondiente, disponible en Pilz Shop.
Detalle:
La vulnerabilidad de severidad alta se debe a una gestiĂłn insegura de los nombres de los archivos durante la carga mediante el mĂ©todo mg_http_upload(), y podrĂa permitir a un atacante escribir archivos en ubicaciones arbitrarias fuera de la carpeta de destino designada. Se ha asignado el identificador CVE-2022-25299 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores CVE-2022-40977, CVE-2022-40976, CVE-2018-1002202 y CVE-2022-40976.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.