[Actualización 22/07/2022] Fuga de información en ISaGRAF de Rockwell Automation
Fecha de publicación 30/03/2022
Importancia
3 - Media
Recursos Afectados
- Connected Component Workbench, versión 12.00 y anteriores;
- ISaGRAF Workbench, versión 6.6.9 y anteriores;
- Safety Instrumented Systems Workstation, versión 1.1 y anteriores.
[Actualización 22/07/2022]
- ISaGRAF Workbench, versiones anteriores a 6.6.10.
Descripción
El investigador kimiya, trabajando con ZDI de Trend Micro, ha reportado una vulnerabilidad de severidad media, cuya explotación podría permitir a un atacante pasar datos de archivos locales a un servidor web remoto, provocando una pérdida de confidencialidad.
Solución
- Connected Component Workbench, actualizar a la versión 13.00;
- ISaGRAF Workbench, por ahora aplicar las medidas de mitigación (sección 4. MITIGATIONS del aviso de CISA) hasta que se publique el parche;
- Safety Instrumented Systems Workstation, actualizar a la versión 1.2.
[Actualización 22/07/2022]
- ISaGRAF Workbench, actualizar a 6.6.10.
Detalle
Al abrir un archivo malicioso proporcionado por un atacante, la aplicación es vulnerable a una entidad externa XML (XXE) debido a una llamada insegura dentro del enlace dinámico a un archivo de librería. Se ha asignado el identificador CVE-2022-1018 para esta vulnerabilidad.
Listado de referencias
Etiquetas