Fecha de publicación: 03/11/2021
Importancia:
Alta
Recursos afectados:
Los siguientes componentes de Automation Worx Software Suite, versión 1.88 y anteriores, están afectados:
- PC Worx y
- PC Worx Express.
Descripción:
Jake Baines, investigador de Dragos Inc., en coordinación con CERT@VDE, ha reportado una vulnerabilidad alta que podría permitir a un atacante desempaquetar archivos arbitrarios fuera del directorio del proyecto seleccionado.
Solución:
El fabricante recomienda a los clientes que intercambien los archivos del proyecto que lo hagan únicamente mediante servicios de intercambio de archivos seguros, evitando el uso del correo electrónico sin cifrar. Además, aconsejan intercambiar o almacenar los archivos de proyecto junto con un checksum para garantizar su integridad.
Con la próxima versión de Automation Worx Software Suite (superior a 1.88) se implementarán comprobaciones adicionales para el contenido de los archivos.
Detalle:
PC Worx contiene una vulnerabilidad de tipo zip slip al cargar un archivo de proyecto. El atacante necesita obtener acceso a un archivo de proyecto original de PC Worx para poder manipular los datos dentro del mismo. Después de la modificación, el atacante necesita sustituir el archivo original por el manipulado en la estación de trabajo de programación de aplicaciones. Se ha asignado el identificador CVE-2021-34597 para esta vulnerabilidad.
Etiquetas:
Actualización, Infraestructuras críticas, Privacidad, SCADA, Virtualización, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.