Vulnerabilidad de desbordamiento de buffer en productos Siemens
Fecha de publicación 17/12/2024
Identificador
INCIBE-2024-0610
Importancia
5 - Crítica
Recursos Afectados
- Todas las versiones anteriores a SIMATIC PCS neo 5.0 Update 1.
- Todas las versiones de Totally Integrated Automation Portal (TIA Portal 16, 17, 18 y 19.
- Todas las versiones de:
- Opcenter Execution Foundation;
- Opcenter Intelligence;
- Opcenter Quality;
- Opcenter RDL;
- SINEC NMS (si se opera en conjunto con versiones de anteriores a UMC 2.15).
Descripción
Tenable, en coordinación con Siemens, ha publicado un aviso de seguridad por una vulnerabilidad crítica que afecta a varios productos de Siemens y que si se explotara podría permitir a un atacante externo ejecutar código.
Solución
- Actualizar SIMATIC PCS neo a las versiones 5.0 Update 1 o posteriores.
- Actualizar SINEC NMS a la versiones 3.0 SP2 o posteriores y UMC a las versiones 2.15 o posteriores.
- No hay correcciones disponibles aún para los siguientes productos:
- Opcenter Execution Foundation;
- Opcenter Intelligence;
- Opcenter Quality;
- Opcenter RDL;
- SIMATIC PCS neo versión 4.1;
- Totally Integrated Automation Portal (TIA Portal), versiones 17, 18 y 19.
- No hay planeada una corrección para los siguientes productos:
- SIMATIC PCS neo versión 4.0;
- Totally Integrated Automation Portal (TIA Portal), versiones 16.
Detalle
El componente User Management Component (UMC) contiene una vulnerabilidad de desbordamiento de pila de búfer, donde el búfer que puede ser sobrescrito se asigna en la porción de pila de la memoria, lo que podría provocar la ejecución de código por un atacante remoto.
Se ha asignado el identificador CVE-2024-49775 para esta vulnerabilidad.
Listado de referencias
Etiquetas
