Vulnerabilidad XML External Entity (XEE) en Studio 5000 Logix Designer de Rockwell Automation
Logix Designer Studio 5000, versiones 32.00, 32.01 y 32.02.
Durante la competición Pwn2Own, se hizo pública una vulnerabilidad en Logix Designer Studio 5000 que podría permitir a un atacante parsear un archivo malicioso, lo que podría dar lugar a la divulgación de información.
Se recomienda que todos los clientes de Rockwell Automation que utilizan archivos AML o RDF no acepten archivos de fuentes desconocidas y sean cautelosos con los intentos de ingeniería social que puedan aprovecharse de esta vulnerabilidad.
Las versiones 32.00, 32.01 y 32.02 de Logix Designer Studio 5000 utilizan un analizador XML de terceros que acepta de forma nativa archivos AML y RDF de cualquier entidad externa. Si se explota con éxito, un atacante no autenticado podría ser capaz de crear un archivo malicioso, que al ser analizado, podría llevar a la divulgación de información de nombres de host u otros recursos del programa. Se ha reservado el identificador CVE-2020-12025 para esta vulnerabilidad.