Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos Phoenix Contact

Fecha de publicación 13/10/2022
Identificador

INCIBE-2022-0965

Importancia
5 - Crítica
Recursos Afectados
  • Versiones anteriores a 2022.0.8 LTS de:
    • AXC F 1152,
    • AXC F 2152,
    • AXC F 3152,
    • BPC 9102S,
    • RFC 4072S.
  • Versiones anteriores a 2022.0.7 LTS de:
    • EPC 1502,
    • EPC 1522.
Descripción

Phoenix Contact, en coordinación con el CERT@VDE, ha publicado un aviso con múltiples vulnerabilidades: 7 de severidad crítica, 58 altas y 18 medias, que afectan a componentes Linux en firmware empleado en PLCnext.

Solución

Actualizar a las últimas versiones de firmware LTS y de PLCnext Engineer LTS.

Detalle

Las vulnerabilidades críticas son de tipo:

  • errores de lógica de negocio (CVE-2022-32207),
  • desbordamiento de búfer basado en pila (CVE-2022-2207),
  • lectura fuera de límites (CVE-2022-1927),
  • omisión de autenticación (CVE-2022-0547),
  • codificación incorrecta de la salida (CVE-2022-25235),
  • exposición de recursos (CVE-2022-25236),
  • escritura fuera de límites (CVE-2022-2210).

El resto de identificadores CVE aparecen listados en el aviso del CERT@VDE.

Encuesta valoración