Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Honeywell

Fecha de publicación 14/07/2023
Identificador

INCIBE-2023-0278

Importancia
5 - Crítica
Recursos Afectados

Versiones anteriores a R520.2 de los productos:

  • Experion PKS,
  • Experion LX,
  • Experion PlantCruise.
Descripción

Investigadores de ciberseguridad de ARMIS han reportado 9 vulnerabilidades en productos de Honeywell, 7 de severidad crítica y 2 alta, cuya explotación podría permitir a un atacante causar una condición de denegación de servicio (DoS), escalar privilegios o ejecutar código remoto.

Solución

Actualizar las plataformas de Experion a la versión R520.2, siguiendo los pasos descritos en el aviso de CISA.

Detalle

Los tipos de vulnerabilidades críticas se listan a continuación:

  • desbordamiento de búfer (CVE-2023-23585, CVE-2023-25078 y CVE-2023-24474);
  • valor de retorno/estado inesperado (CVE-2023-25948);
  • codificación incorrecta de los datos de salida (CVE-2023-24480);
  • deserialización de información no confiable (CVE-2023-25770);
  • comparación incorrecta (CVE-2023-22435).

Las vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2023-26597 y CVE-2023-25178.