Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/7/22

Garrantzia: Handia

Kaltetutako baliabideak: 

PLCnext Engineer (1046008) 2020.3.1 eta aurrekoak

Azalpena: 

[email protected] zaurgarritasun bat argitaratu du -Phoenix Contact produktuetan, ibilbide-izena oker mugatzea ibilbide murriztu batera (Path Traversal)-, eta horrek aukera eman diezaioke erasotzaile bati kodea urrutitik exekutatzeko

Soluzioa: 

Eguneratu PLCnext Enineer 2020.6 bertsiora edo berriago batera.

Konponbidea: 

PLCnext Engineer (.pcwex) proiektu baten eraikuntza-parametroak proiektu batera sarbidea duen erasotzaile batek manipulatu ditzake, eta horrek kodea urrutitik exekutatzeko aukera eman dezake. CVE-2020-12499 identifikatzailea esleitu zaio zaurgarritasun horri.

Etiketak: eguneratzea, zaurgarritasuna