Introducció
El CERT@VDE[1], ha reportat 2 vulnerabilitats, una de severitat crítica i una altra d’alta, que afecten Profinet SDK de l’empresa Phoenix Contact[2]. Un atacant podria fer que un programa es bloquegi, utilitzar valors inesperats o executar codi arbitrari en explotar aquestes vulnerabilitats.
Anàlisi
Les vulnerabilitats identificades es troben a la llibreria de l’analitzador XML Expat (libexpat). Aquest component de codi obert s’usa àmpliament en molts productes a tot el món.
CVE-2022-40674: La disponibilitat, integritat o confidencialitat d’un dispositiu que utilitzi PROFINET Controller Stack es podrien veure compromeses per atacs que explotin aquesta vulnerabilitat.
Recomanacions
Es recomana actualitzar la llibreria libexpat a la versió 2.4.9 o superiors i el Profinet SDK a la versió 6.7 o superior.
Referències
[1] VDE-2022-058[2] Security Advisory for PROFINET SDK