Introducción
VDE@CERT ha coordinado la publicación de un aviso de seguridad para una vulnerabilidad crítica de Endress+Hauser. De explotarse, esta vulnerabilidad podría permitir la ejecución de comandos en el contexto de otros usuarios.
La vulnerabilidad fue detectada por Julian Renz, de Endress+Hauser.[1]
Análisis
La vulnerabilidad crítica encontrada es la siguiente:
- CVE-2024-6596 – Control incorrecto de generación de código (Inyección de código) (CWE-94):
Echo Curve Viewer es una utilidad utilizada para la visualización offline de datos de curvas envolventes previamente registrados. Al cargar los archivos .cs que utiliza para la representación de estas curvas, contienen c#; sin embargo, cuando se ingesta, estos no son autenticados ni validados, por lo que el código c# de ellos se ejecuta inmediatamente. Un atacante remoto sin autenticación puede ejecutar código c# incluido en estos archivos y ejecutar comandos en el contexto del usuario.
- CVE-2024-6596 – Control incorrecto de generación de código (Inyección de código) (CWE-94):
- La serie de productos afectados es:
- Echo Curve Viewer, versiones 5.2.2.6 o anteriores.
- FieldCare SFE500 Package:
- USB, versiones V1.40.00.7448 o anteriores;
- Web-Package, versiones V1.40.00.7448 o anteriores.
- Field Xpert SMT50, versiones SMT50_Win10_LTSC_21H2_v1.07.00_RC02_03 o anteriores.
- Field Xpert SMT70, versiones SMT70_Win10_LTSC_21H2_v1.07.00_RC02_01 o anteriores.
- Field Xpert SMT77, versiones SMT77_Win10_SAC_22H2_v1.08.04_RC03_02 o anteriores.
- Field Xpert SMT79, versiones V1.08.02-1.8.8684.34292 o anteriores.
Recomendaciones
- Echo Curve Viewer: actualizar a la versión 6.00.00.
- FieldCare SFE500 Package: actualizar a la versión 1.40.1.
- Para los dispositivos Field Xpert Devices, la actualización se instala automáticamente al iniciar el dispositivo, siempre que este tenga conexión a Internet
Referencias