[SCI] Vulnerabilidad de validación de entrada incorrecta en Rockwell Automation

Introducción

Rockwell Automation ha informado de una vulnerabilidad de severidad crítica[1] que podría permitir a un atacante revelar información confidencial, modificar datos o provocar una denegación de servicio.

Análisis

La vulnerabilidad de severidad critica asociada a los productos Rockwell afectados es la siguiente:

    • CVE-2017-12652: Validación de entrada incorrecta (CWE-20):

La vulnerabilidad afecta a lippng, que es la biblioteca de referencia de PNG. Esta no verifica adecuadamente la longitud de los fragmentos con el límite de usuario. Si se explota con éxito podría conducir a la divulgación de información confidencial, la adición o modificación de datos o una condición de denegación de servicio.

Productos afectados:

    • PanelView 800 2711R-T10T: V3.011.
    • PanelView 800 2711R-T7T: V3.011.
    • PanelView 800 2711R-T4T: V3.011.

Recomendaciones

Actualizar a la versión 6.011 o posterior[2].

Referencias

[1] ICSA-23-271-01 – Rockwell Automation PanelView 800
[2] Rockwell Panelview versión 6.011