Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Confusión de tipos en CX-One de Omron

Fecha de publicación 11/01/2019
Importancia
3 - Media
Recursos Afectados
  • CX-One, versiones 4.50 y anteriores que utilizan CX-Protocol con versiones 2.0 y anteriores.
Descripción

Esteban Ruiz (mr_me) de Source Incite, trabajando con Zero Day Initiative de Trend Micro, han identificado una vulnerabilidad de confusión de tipo en CX-One de Omron. Un atacante podría ejecutar código con los privilegios de la aplicación.

Solución
  • Omron ha publicado la versión 2.01 de CX-Protocol para actualizar CX-One y solucionar esta vulnerabilidad. Esta actualización se encuentra disponible a través del servicio CX-One auto-update.
Detalle
  • Existen tres vulnerabilidades de confusión de tipos cuando se procesa el fichero de proyecto, un atacante podría crear un fichero de proyecto especialmente modificado para ejecutar código con los privilegios de la aplicación. Se ha reservado el identificador CVE-2018-19027 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
Advisory (ICSA-19-010-02) Omron CX-One CX-Protocol
Etiquetas