Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en fdtContainer de WAGO/M&M Software

Fecha de publicación 15/01/2021
Importancia
4 - Alta
Recursos Afectados
  • fdtCONTAINER component:
    • versiones anteriores a la 3.5;
    • versiones 3.5.0, anteriores a la 3.5.20304.x;
    • versiones 3.6.0, anteriores a la 3.6.20304.x;
  • fdtCONTAINER application:
    • versiones anteriores a la 4.5;
    • versiones 4.5.0, anteriores a la 4.5.20304.x;
    • versiones 4.6.0, anteriores a la 4.6.20304.x;
  • dtmINSPECTOR:
    • versión 3 (basada en FDT 1.2.x).
Descripción

Un cliente de fdtCONTAINER component ha reportado esta vulnerabilidad de severidad alta, coordinada por CERT@VDE, que podría permitir a un atacante ejecutar código malicioso.

Solución

El fabricante aporta 2 soluciones posibles:

  • Por un lado, actualizar a una versión que proporcione una deserialización más segura de los datos del proyecto. Estas versiones seguirán utilizando una tecnología de serialización obsoleta, pero corregirá el vector de ataque actualmente conocido y será compatible con los archivos de proyecto existentes, no manipulados:
    • fdtCONTAINER component, versión 3.6.20304.x o superior;
    • fdtCONTAINER application, versión 4.6.20304.x o superior.
  • Por otro, actualizar a una versión que proporciona una deserialización segura de los datos del proyecto con una tecnología de serialización actualizada. Esto provoca la incompatibilidad con los archivos de proyecto existentes, no manipulados:
    • fdtCONTAINER component, versión 3.7 y superiores;
    • fdtCONTAINER application, versión 4.7 y superiores.
Detalle

Una vulnerabilidad de deserialización de datos no confiables podría permitir a un atacante ejecutar código malicioso, desde la estación de trabajo en la que se ejecuta la aplicación del host, con los permisos de usuario de dicha aplicación. Se ha asignado el identificador CVE-2020-12525 para esta vulnerabilidad.

Encuesta valoración