Vulnerabilidad en PLCnext Engineer de Phoenix Contact

Fecha de publicación 22/07/2020

Importancia

4 - Alta

Recursos Afectados

PLCnext Engineer (1046008) 2020.3.1 y anteriores

Descripción

CERT@VDE ha publicado una vulnerabilidad del tipo limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal) en productos Phoenix Contact que podría permitir a un atacante la ejecución remota de código.

Solución

Actualizar a PLCnext Engineer 2020.6 o superior.

Detalle

Los parámetros de construcción de un proyecto de PLCnext Engineer (.pcwex) pueden ser manipulados por un atacante con acceso al proyecto, lo que podría permitir la ejecución remota de código. Se ha asignado el identificador CVE-2020-12499 para esta vulnerabilidad.

Listado de referencias

PHOENIX CONTACT: Improper path sanitation on import of project files in PLCnext Engineer

Etiquetas

Actualización
Vulnerabilidad