Introducción
Chris Anastasio y Steven Seeley, investigadores de Incite Team, han reportado 2 vulnerabilidades críticas en ThingWorx Edge de PCT.
Análisis
CVE-2022-0755: Validación incorrecta del índice de matriz (CWE-129).
Los productos afectados son vulnerables a una validación incorrecta del índice de matriz, lo que podría permitir a un atacante bloquear el servidor y ejecutar remotamente código arbitrario.
CVE-2022-0754: Desbordamiento de enteros o wraparound (CWE-190).
Los productos afectados son vulnerables a un desbordamiento de entero o wraparound, que podría permitir a un atacante bloquear el servidor y ejecutar remotamente código arbitrario.
Los modelos afectados son:
- ThingWorx Edge C-SDK, versiones 2.2.12.1052 o anteriores
- .NET-SDK, versiones 5.8.4.971 o anteriores
- ThingWorx Edge MicroServer (EMS), versiones 5.4.10.0 o anteriores
- Kepware KEPServerEX, versiones 6.12 o anteriores
- ThingWorx Kepware Server (conocido anteriormente como ThingWorx Industrial Connectivity), versiones 6.12 o anteriores
- ThingWorx Industrial Connectivity, todas las versiones
- ThingWorx Kepware Edge, versiones 1.5 o anteriores
- Rockwell Automation KEPServer Enterprise, versiones 6.12 o anteriores;
- GE Digital Industrial Gateway Server, versiones 7.612 o anteriores.
Recomendaciones
Actualizar a las siguientes versiones:
- ThingWorx Edge C-SDK, 3.0.0 o posteriores
- .NET-SDK, 5.8.5 o posteriores
- ThingWorx Edge MicroServer (EMS), 5.4.11 o posteriores
- Kepware KEPServerEX, 6.13 o posteriores
- ThingWorx Kepware Server (conocido anteriormente como ThingWorx Industrial Connectivity), 6.13 o posteriores
- ThingWorx Kepware Edge, 1.6 o posteriores
- Rockwell Automation KEPServer Enterprise, 6.12 o posteriores
- GE Digital Industrial Gateway Server, 7.613 o posteriores.
Referencias
[1] ICSA-23-054-01 PTC ThingWorx Edge