Múltiples vulnerabilidades en Arena® de Rockwell Automation
Arena®, versiones 16.20.08 y anteriores.
Michael Heinzl ha reportado a Rockwell Automation 11 vulnerabilidades de severidad alta que podría permitir a un atacante divulgar información y ejecutar código arbitrario en el sistema.
Actualizar a la versión 16.20.09.
Existe una vulnerabilidad de ejecución de código local en los productos afectados debido a:
- un puntero no inicializado,
- que se puede escribir fuera del búfer de memoria asignado o
- un desbordamiento del búfer de memoria basado en la pila.
El fallo se debe a una validación incorrecta de los datos proporcionados por el usuario. Si se explota, un atacante puede divulgar información y ejecutar código arbitrario en el sistema. Para explotar la vulnerabilidad, un usuario legítimo debe abrir un archivo DOE malicioso.
Se han asignado los identificadores CVE-2025-2285, CVE-2025-2286, CVE-2025-2287, CVE-2025-2288, CVE-2025-2293, CVE-2025-2829, CVE-2025-3285, CVE-2025-3286, CVE-2025-3287, CVE-2025-3288 y CVE-2025-3289 para estas vulnerabilidades.
