Múltiples vulnerabilidades en productos Rockwell Automation
Fecha de publicación 15/11/2024
Identificador
INCIBE-2024-0561
Importancia
4 - Alta
Recursos Afectados
- Verve Asset Manager, versiones anteriores a 1.39;
- Arena Input Analyzer, versiones 16.20.03 y anteriores.
Descripción
Rockwell Automation ha reportado 2 vulnerabilidades de severidad alta que afectan a sus productos Verve Asset Manager y Arena Input Analyzer, cuya explotación podría permitir a un atacante ejecutar código arbitrario y divulgar información.
Solución
- Verve Asset Manager, actualizar a la versión 1.39;
- Arena Input Analyzer, actualizar a la versión 16.20.04.
Detalle
- Verve Asset Manager utiliza Kibana, que contiene una vulnerabilidad de ejecución remota de código que podría permitir a un atacante con acceso a funciones de conexión ML (Machine Learning) y Alertas, así como acceso de escritura a ML interno, provocar una vulnerabilidad en JavaScript de contaminación de prototipos, que en última instancia podría conducir a la ejecución de código arbitrario. Se ha asignado el identificador CVE-2024-37287 para esta vulnerabilidad.
- Arena Input Analyzer es vulnerable a la corrupción de memoria al analizar archivos DFT (documento borrador de Solid Edge), cuando un usuario legítimo abre un archivo DFT malicioso. Un atacante local podría divulgar información y ejecutar código arbitrario. Se ha asignado el identificador CVE-2024-6068 para esta vulnerabilidad.
Listado de referencias
