[SCI] Múltiples vulnerabilidades en Profinet SDK de Phoenix Contact

Introducción

El CERT@VDE[1], ha reportado 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan a Profinet SDK de la empresa Phoenix Contact[2]. Un atacante podría hacer que un programa se bloquee, usar valores inesperados o ejecutar código arbitrario al explotar estas vulnerabilidades.

 

Análisis

Las vulnerabilidades identificadas se encuentran en la librería del analizador XML Expat (libexpat). Este componente de código abierto se usa ampliamente en muchos productos en todo el mundo.

CVE-2022-40674: La disponibilidad, integridad o confidencialidad de un dispositivo que utilice PROFINET Controller Stack podrían verse comprometidas por ataques que exploten esta vulnerabilidad.

 

Recomendaciones

Se recomienda actualizar la librería libexpat a la versión 2.4.9 o superiores y el Profinet SDK a la versión 6.7 o superior.

 

Referencias

[1] VDE-2022-058
[2] Security Advisory for PROFINET SDK