[Actualización 31/03/2021] Múltiples vulnerabilidades en Automation Worx Software Suite de Phoenix Contact
Los componentes de Automation Worx Software Suite con versión 1.87 y anteriores:
- PC Worx,
- PC Worx Express.
Investigadores independientes trabajando, a través de Trend Micro Zero Day Initiative, han reportado varias vulnerabilidades en componentes de Worx Software Suite, que podrían permitir a un atacante comprometer la estación de trabajo donde se utilicen esos componentes a través de una ejecución remota de código.
Esta vulnerabilidad se corregirá en la próxima versión de Automation Worx Software Suite.
Se recomienda no intercambiar archivos de proyectos para PC Worx de manera insegura o sin haber comprobado antes el cálculo de un hash de verificación de los ficheros para asegurar su integridad.
[Actualización 31/03/2021]: Actualizar a Automation Worx Software Suite (V1.88).
Las vulnerabilidades encontradas podrían permitir, mediante el uso de proyectos para PC Worx manipulados, realizar una ejecución remota de código debido a una insuficiente validación de entrada al procesar archivos *.mwe, provocando un desbordamiento de búfer basado en stack y lectura fuera de límites.
Un atacante necesitaría tener acceso a un proyecto original de PC Worx y manipular los datos dentro de la carpeta de proyectos, sustituyendo el manipulado por el original en la estación de trabajo.
Se han reservado los identificadores CVE-2020-12497 y CVE-2020-12498 para estas vulnerabilidades.