Múltiples vulnerabilidades en productos de Endress+Hauser
- Echo Curve Viewer, versiones 5.2.2.6 o anteriores.
- FieldCare SFE500 Package:
- USB, versiones V1.40.00.7448 o anteriores;
- Web-Package, versiones V1.40.00.7448 o anteriores.
- Field Xpert SMT50, versiones SMT50_Win10_LTSC_21H2_v1.07.00_RC02_03 o anteriores.
- Field Xpert SMT70, versiones SMT70_Win10_LTSC_21H2_v1.07.00_RC02_01 o anteriores.
- Field Xpert SMT77, versiones SMT77_Win10_SAC_22H2_v1.08.04_RC03_02 o anteriores.
- Field Xpert SMT79, versiones V1.08.02-1.8.8684.34292 o anteriores.
VDE@CERT ha coordinado la publicación de un aviso de seguridad para una vulnerabilidad crítica de Endress+Hauser. De explotarse, esta vulnerabilidad podría permitir la ejecución de comandos en el contexto de otros usuarios.
La vulnerabilidad fue detectada por Julian Renz, de Endress+Hauser
- Echo Curve Viewer: actualizar a la versión 6.00.00.
- FieldCare SFE500 Package: actualizar a la versión 1.40.1.
- Para los dispositivos Field Xpert Devices, la actualización se instala automáticamente al iniciar el dispositivo, siempre que este tenga conexión a Internet.
Echo Curve Viewer es una utilidad utilizada para la visualización offline de datos de curvas envolventes previamente registrados. Al cargar los archivos .cs que utiliza para la representación de estas curvas, contienen c#; sin embargo, cuando se ingesta, estos no son autenticados ni validados, por lo que el código c# de ellos se ejecuta inmediatamente. Un atacante remoto sin autenticación puede ejecutar código c# incluido en estos archivos y ejecutar comandos en el contexto del usuario. Esta vulnerabilidad crítica recibe el identificador CVE-2024-6596
