Introducción
El CERT@VDE[1], ha reportado 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan a Profinet SDK de la empresa Phoenix Contact[2]. Un atacante podría hacer que un programa se bloquee, usar valores inesperados o ejecutar código arbitrario al explotar estas vulnerabilidades.
Análisis
Las vulnerabilidades identificadas se encuentran en la librería del analizador XML Expat (libexpat). Este componente de código abierto se usa ampliamente en muchos productos en todo el mundo.
CVE-2022-40674: La disponibilidad, integridad o confidencialidad de un dispositivo que utilice PROFINET Controller Stack podrían verse comprometidas por ataques que exploten esta vulnerabilidad.
Recomendaciones
Se recomienda actualizar la librería libexpat a la versión 2.4.9 o superiores y el Profinet SDK a la versión 6.7 o superior.
Referencias
[1] VDE-2022-058[2] Security Advisory for PROFINET SDK