Múltiples vulnerabilidades en productos de Phoenix Contact
- E-Mobility Charging Suite: v1.7.0 y anteriores;
- FL Network Manager: v7.0 y anteriores;
- IOL Conf: v1.7.0 y anteriores;
- MTP Designer: v1.2.0. BETA y anteriores;
- MTP Designer Trial: v1.2.0. BETA y anteriores;
- Activation Wizard Phoenix Contact: v1.6 y anteriores;
- Phoenix Contact Asistente de activación en la plataforma de software MORYX: v1.6 y anteriores;
- PLCnext Engineer: v2023.9 y anteriores;
- PLCnext Engineer EDU LIC: v2023.9 y anteriores.
Ver códigos de los artículos afectados en el enlace al aviso oficial de la sección de 'Referencias'.
CERT@VDE en coordinación con Phoenix Contact ha publicado dos vulnerabilidades de severidad crítica en Wibu-System CodeMeter Runtime, sobre un desbordamiento del búfer basado en montón causado por 'libcurl' y una interpretación incorrecta de los espacios en blanco en Javascript. Esto podría llevar a la ejecución de código arbitrario utilizando los privilegios del usuario que ejecuta el software afectado.
Phoenix Contact recomienda a los usuarios afectados que actualicen a CodeMeter V7.60d. Wibu-Systems ya ha publicado una actualización para CodeMeter en su página de inicio
Además, se recomienda actualizar el asistente de activación de Phoenix Contact a la versión 1.7 cuando esté disponible.
La vulnerabilidad CVE-2023-38545, de severidad crítica, afecta a la escritura fiera de los límites. Este fallo hace que 'curl' desborde un búfer basado en montón en el protocolo de enlace del proxy SOCKS5. Mientras, que la vulnerabilidad CVE-2023-24540, también de severidad crítica, afecta a los espacios en blanco de JavaScript válidos y provoca problemas en su ejecución.