Vulnerabilidad en fdtContainer afecta a múltiples productos de ENDRESS+HAUSER
Fecha de publicación 01/03/2021
Importancia
4 - Alta
Recursos Afectados
- DeviceCare SFE100, versión 1.07.00 y anteriores;
- Field Xpert SMTxx (Software SFE300), versión 1.05.00 y anteriores;
- FieldCare SFE500, versión 2.15.01 y anteriores;
- Asset Health Monitoring SRP700 (Software FieldCare SFE500), versión 2.15.01 (FieldCare SFE500) y anteriores.
Descripción
M&M Software GmbH ha reportado esta vulnerabilidad de severidad alta, coordinada por CERT@VDE, que podría permitir a un atacante ejecutar código malicioso.
Solución
Hasta que esté disponible una solución, se recomienda tomar las siguientes medidas de mitigación:
- intercambiar los datos del proyecto sólo a través de servicios de intercambio seguros;
- utilizar los medios adecuados para proteger el almacenamiento del proyecto de manipulaciones no autorizadas;
- no abrir los datos del proyecto desde una fuente desconocida;
- reducir los derechos de usuario de la aplicación anfitriona al mínimo necesario.
Detalle
Una vulnerabilidad de deserialización de datos no confiables en el componente fdtContainer, integrado en la aplicación, podría permitir a un atacante ejecutar código malicioso, desde la estación de trabajo en la que se ejecuta la aplicación del host, con los permisos de usuario de dicha aplicación. Se ha asignado el identificador CVE-2020-12525 para esta vulnerabilidad ya publicada en INCIBE-CERT.
Listado de referencias
Etiquetas