Vulnerabilidad en WIBU-SYSTEMS Codemeter

Fecha de publicación: 01/02/2022

Importancia:
Alta

Recursos afectados:

• WAGO e!COCKPIT engineering software installation bundle, versiones anteriores a la V1.11;
• WAGO-I/O-Pro (CODESYS 2.3) engineering software installation, versiones 2.3.9.46, 2.3.9.47, 2.3.9.49, 2.3.9.53, 2.3.9.55, 2.3.9.61 y 2.3.9.66.

Descripción:

WAGO, en coordinación con CERT@VDE, ha publicado una vulnerabilidad en WIBU-SYSTEMS Codemeter. Todos los paquetes de instalación de e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3) existentes actualmente están afectados con versiones vulnerables.

Solución:

• Se recomienda a los usuarios de e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3) que actualicen WIBU-SYSTEMS Codemeter instalando la última versión disponible de WIBU-SYSTEMS Codemeter.
• WAGO proporcionará rutinas de configuración actualizadas para e!COCKPIT (versión 1.11) con la última versión de WIBU-SYSTEMS Codemeter en el segundo trimestre de 2022. Además, WAGO proporcionará un parche de seguridad para la versión 1.10 de e!COCKPIT en febrero de 2022.
• WAGO proporcionará rutinas de configuración actualizadas para WAGO-I/O-Pro (CODESYS 2.3) (versión 2.3.9.68) con la última versión de WIBU-SYSTEMS Codemeter en el primer trimestre de 2022.

Detalle:

Una vulnerabilidad del tipo resolución inadecuada de enlaces antes del acceso al archivo (‘Link Following’), podría permitir a un atacante sobreescribir el archivo enlazado sin comprobar los permisos, mediante la creación de un enlace simbólico de CmDongles. Se ha asignado el identificador CVE-2021-41057 para esta vulnerabilidad.

Etiquetas:
Actualización, Vulnerabilidad