Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/11/2017
Descubierta vulnerabilidad en Schneider Electric’s
Este fallo, de gravedad alta, permitiría a un atacante remoto ejecutar código arbitrario.Riesgo: Alto
El problema se debe a un error en la suscripción de etiquetas en clientes HMI.
Esto podría causar un desbordamiento de memoria intermedia basada en pila y un atacante remoto, no autenticado, podría aprovecharlo para ejecutar código arbitrario con permisos de usuario a través de paquetes especialmente manipulados.
Más información.
- InduSoft Web Studio v8.0 SP2 Patch 1 y versiones anteriores.
- InTouch Machine Edition v8.0 SP2 Patch 1 y versiones anteriores.
CVE-2017-14024
Solución:Actualizar a la versión más reciente
Notas:Schneider Electric
Fuente: Hispasec una-al-día