Vulnerabilidades en WIBU-SYSTEMS impactan en productos Phoenix Contact
Fecha de publicación 19/09/2023
Identificador
INCIBE-2023-0396
Importancia
5 - Crítica
Recursos Afectados
- Phoenix Contact Activation Wizard, versiones 1.6 y anteriores;
- PLCnext Engineer y PLCNEXT ENGINEER EDU LIC, versiones 2023.6 y anteriores;
- FL Network Manager, versiones 7.0 y anteriores;
- E-Mobility Charging Suite e IOL Conf, versiones 1.7.0 y anteriores;
- MTP DESIGNER y MTP DESIGNER TRIAL, versiones 1.2.0 BETA y anteriores.
Descripción
Phoenix Contact, con la coordinación y el soporte del CERT@VDE, ha informado de 2 vulnerabilidades: una de severidad crítica y otra alta, que afectan a varios productos. Estas vulnerabilidades, de tipo denegación de servicio (DoS), se encuentran en CodeMeter de WIBU-SYSTEMS, que está incorporado en los productos afectados de Phoenix Contact.
Solución
- Actualizar CodeMeter a la versión 7.60c.
- Actualizar Phoenix Contact Activation Wizard a la versión 1.7 cuando esté disponible.
Detalle
- Una vulnerabilidad crítica de desbordamiento de búfer en el servicio de red WIBU CodeMeter Runtime hasta la versión 7.60b podría permitir a un atacante remoto no autenticado ejecutar código y obtener acceso completo al sistema host. Se ha asignado el identificador CVE-2023-3935 para esta vulnerabilidad.
- Una vulnerabilidad alta de gestión inadecuada de privilegios a través de un uso incorrecto de las API privilegiadas, en las versiones de CodeMeter Runtime anteriores a la 7.60c, podría permitir a un atacante local con pocos privilegios utilizar una llamada a la API para escalar privilegios y obtener acceso completo de administrador en el sistema host. Se ha asignado el identificador CVE-2023-4701 para esta vulnerabilidad.
Listado de referencias
