Deserialización de datos no fiables en productos Rockwell Automation
- Connected Component Workbench, versión 13.00.00 y anteriores;
- ISaGRAF Workbench, desde la versión 6.0 hasta la 6.6.9;
- Safety Instrumented Systems Workstation, versión 1.2 y anteriores (para Trusted Controllers).
El investigador kimiya, trabajando con ZDI de Trend Micro, ha reportado una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario.
Rockwell Automation recomienda a los usuarios actualizar a la versión 20.00 o posterior.
Para ISaGRAF Workbench y Safety Instrumented Systems Workstation, Rockwell Automation recomienda a los usuarios aplicar las medidas de mitigación descritas en el aviso de CISA.
Varios productos de Rockwell Automation no limitan los objetos que pueden ser deserializados. Esta situación podría permitir a un atacante crear un objeto serializado malicioso que, si es abierto por un usuario local en Connected Components Workbench, podría resultar en la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-1118 para esta vulnerabilidad.
