Introducció
Chris Anastasio i Steven Seeley, investigadors de Incite Team, han reportat 2 vulnerabilitats crítiques en ThingWorx Edge de PCT.
Anàlisi
CVE-2022-0755: Validació incorrecta de l’índex de matriu (CWE-129).
Els productes afectats són vulnerables a una validació incorrecta de l’índex de matriu, la qual cosa podria permetre a un atacant bloquejar el servidor i executar remotament codi arbitrari.
CVE-2022-0754: Desbordament d’enters o wraparound (CWE-190).
Els productes afectats són vulnerables a un desbordament d’enter o wraparound, que podria permetre a un atacant bloquejar el servidor i executar remotament codi arbitrari.
Els models afectats són:
- ThingWorx Edge C-SDK, versions 2.2.12.1052 o anteriors
- .NET-SDK, versions 5.8.4.971 o anteriors
- ThingWorx Edge MicroServer (EMS), versiones 5.4.10.0 o anteriores
- Kepware KEPServerEX, versions 6.12 o anteriors
- ThingWorx Kepware Server ((conegut anteriorment com ThingWorx Industrial Connectivity), versions 6.12 o anteriors
- ThingWorx Industrial Connectivity, totes les versions
- ThingWorx Kepware Edge, versions 1.5 o anteriors
- Rockwell Automation KEPServer Enterprise, versions 6.12 o anteriors;
- GE Digital Industrial Gateway Server, versions 7.612 o anteriors.
Recomanacions
Actualitzar a les següents versions:
- ThingWorx Edge C-SDK, 3.0.0 o posteriors
- .NET-SDK, 5.8.5 o posteriors
- ThingWorx Edge MicroServer (EMS), 5.4.11 o posteriors
- Kepware KEPServerEX, 6.13 o posteriors
- ThingWorx Kepware Server (conegut anteriorment com ThingWorx Industrial Connectivity), 6.13 o posteriors
- ThingWorx Kepware Edge, 1.6 o posteriors
- Rockwell Automation KEPServer Enterprise, 6.12 o posteriors
- GE Digital Industrial Gateway Server, 7.613 o posteriors.
Referències
[1] ICSA-23-054-01 PTC ThingWorx Edge