Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades 0day en GE CIMPLICITY

Fecha de publicación 30/09/2022
Identificador

INCIBE-2022-0945

Importancia
4 - Alta
Recursos Afectados

GE CIMPLICITY.

Descripción

Kimiya, trabajando junto a ZDI de Trend Micro, ha reportado 5 vulnerabilidades 0day de severidad alta, que podrían permitir a un atacante ejecutar código arbitrario en las instalaciones afectadas de GE CIMPLICITY.

Solución

Dada la naturaleza de las vulnerabilidades, la única estrategia de mitigación destacada es restringir la interacción con la aplicación.

Detalle

Las vulnerabilidades surgen en el parseo de archivos CIM, debido a una inicialización incorrecta de un puntero o a una validación incorrecta de la longitud de los datos proporcionados por el usuario.

Encuesta valoración

Listado de referencias
ZDI-22-1319 (0Day) GE CIMPLICITY CIM File Parsing Uninitialized Pointer Remote Code Execution Vulnerability
ZDI-22-1320 (0Day) GE CIMPLICITY CIM File Parsing Heap-based Buffer Overflow Remote Code Execution Vulnerability
ZDI-22-1321 (0Day) GE CIMPLICITY CIM File Parsing Uninitialized Pointer Remote Code Execution Vulnerability
ZDI-22-1322 (0Day) GE CIMPLICITY CIM File Parsing Untrusted Pointer Dereference Remote Code Execution Vulnerability
ZDI-22-1323 (0Day) GE CIMPLICITY CIM File Parsing Out-Of-Bounds Write Remote Code Execution Vulnerability
Etiquetas