Fuga de información sensible en aplicaciones .NET de Unified Automation
Unified Automation .NET basado en OPC UA Client/Server SDK Bundle, versión 3.0.7 y anteriores (solo en las versiones 4.5, 4.0 y 3.5 de .NET Framework).
Eran Jacob, en colaboración con Otorio Research Team, ha reportado una vulnerabilidad, de severidad alta, cuya explotación exitosa podría permitir a un atacante no autenticado leer cualquier archivo en el sistema de archivos.
Unified Automation ha publicado un software (es necesario iniciar sesión) para solucionar las vulnerabilidades de .NET Framework.
La Fundación OPC recomienda a los usuarios que despliegan productos OPC UA .NET, construidos con los .NET Framework 4.5, 4.0 y 3.5, que se pongan en contacto con el proveedor del producto para determinar si es necesaria una actualización.
También se recomienda actualizar a una versión del producto que utilice el .NET Framework 4.5.2 o posterior.
OPC UA .NET Framework podría exponer información sensible a un usuario sin acceso autorizado. Se ha asignado el identificador CVE-2021-27434 para esta vulnerabilidad.
